Un nouveau malware, baptisé DroidBot, est en train de faire des ravages en ce moment même. Il cible les utilisateurs de smartphones Android, et plus particulièrement ceux des clients de plusieurs banques françaises. Si ce virus est actif depuis juin 2024, il est devenu une menace bien plus pressante depuis la fin de l’année, notamment après que des chercheurs aient mis en lumière sa progression. En apparence, DroidBot ressemble à une simple application légitime, mais son objectif est bien plus malveillant : vider vos comptes bancaires.
Huit banques françaises visées par DroidBot
DroidBot, qui fait partie d’une offre de type « Malware-as-a-Service » (MaaS), est un virus accessible à des cybercriminels moyennant un abonnement mensuel d’environ 3 000 dollars. Cet accès permet aux attaquants de personnaliser l’attaque selon leurs besoins, et jusqu’à présent, 17 groupes criminels ont utilisé ce malware pour mener des attaques. Parmi les 8 banques françaises qui figurent sur la liste des cibles, on trouve :
- Boursorama
- BNP Paribas
- Crédit Agricole
- Axa Banque
- Caisse d’Épargne
- Banque Populaire
- ING
- Société Générale
Si vous êtes client de l’une de ces institutions, la vigilance est de mise. Plusieurs attaques ont été signalées en France, mais aussi au Royaume-Uni, en Italie, et dans d’autres pays européens. La menace est donc bien réelle et touche un grand nombre de clients à travers l’Europe.
Comment DroidBot opère-t-il ?
Le mode opératoire de DroidBot est particulièrement ingénieux et s’appuie sur des techniques bien établies pour tromper l’utilisateur. En général, le virus se fait passer pour des applications populaires comme Google Chrome ou le Google Play Store, ou encore sous la forme d’une fausse application de sécurité Android. En poussant l’utilisateur à télécharger cette application depuis des sites douteux ou des fichiers APK non sécurisés, DroidBot s’infiltre discrètement dans le téléphone.
Une fois installé, il utilise plusieurs techniques pour voler les données sensibles de ses victimes. Le virus intercepte, par exemple, tous les SMS entrants contenant des codes de connexion ou enregistre chaque frappe sur le clavier, ce qui lui permet de récupérer les identifiants et mots de passe bancaires. Mieux encore, DroidBot peut afficher de faux écrans au-dessus des applications bancaires, permettant aux cybercriminels de détourner des fonds sans que l’utilisateur ne s’en aperçoive.
DroidBot et l’accès à distance
Une particularité inquiétante de DroidBot est qu’il utilise les services d’accessibilité d’Android, conçus à l’origine pour les personnes malvoyantes. En détournant ces fonctionnalités, les attaquants peuvent prendre le contrôle à distance de l’appareil. Cela leur permet de simuler des actions sur l’écran, telles que cliquer sur des boutons, remplir des formulaires, ou même naviguer dans des applications, exactement comme si l’attaquant était physiquement devant le téléphone. Cette capacité permet au malware de se comporter de manière extrêmement discrète et efficace.
Les pirates qui utilisent DroidBot ont à leur disposition un panneau d’administration via lequel ils peuvent personnaliser l’attaque : choisir des cibles spécifiques, modifier les langues utilisées, et adapter l’attaque en fonction de l’endroit géographique ou de l’application visée.
Une menace qui évolue
Les experts de Cleafy, spécialisés dans la lutte contre la fraude en ligne, alertent sur le fait que DroidBot est toujours en développement actif. Les créateurs de ce malware continuent à l’améliorer, ce qui pourrait bien rendre son efficacité encore plus dévastatrice dans les mois à venir. D’ailleurs, des indices laissent à penser que l’attaque pourrait se propager à de nouvelles régions, en particulier en Amérique Latine.
Pour se protéger de ce virus, il est impératif d’éviter de télécharger des applications en dehors du Google Play Store, où les contrôles de sécurité sont plus stricts. DroidBot, pour le moment, n’a pas réussi à se glisser sur cette plateforme, ce qui constitue une protection importante.
Conseils pour vous protéger
Face à cette menace croissante, il est essentiel de prendre quelques précautions. Tout d’abord, ne téléchargez jamais d’applications à partir de sources non officielles. Assurez-vous que les applications que vous installez proviennent uniquement du Play Store, et vérifiez toujours les permissions qu’elles demandent. De plus, un antivirus ou une solution de sécurité peut être un bon moyen de détecter les logiciels malveillants avant qu’ils n’infectent votre téléphone.
En résumé, DroidBot est une menace sophistiquée qui évolue rapidement. En restant vigilant et en adoptant des mesures simples de sécurité, vous pouvez largement réduire les risques d’être victime de ce genre de cyberattaque.