Il y a comme un air de déjà vu pas très surprenant, et pourtant… Le dernier rapport de l’entreprise de cybersécurité milanaise Cleafy sur le programme malveillant DroidBot a remis sur le devant de la scène les chevaux de Troie Android spécialisés dans le vol d’informations.
La presse généraliste et spécialisée s’est fait l’écho ces derniers jours des risques posés par ce malware, conçu vraisemblablement au moins depuis le mois de juin 2024.
La Fédération bancaire française a même dû démentir dans un communiqué une “cyberattaque contre huit banques françaises”. Il n’y a en réalité pas de piratage des systèmes d’information des entreprises concernées.
La France l’un des pays les plus touchés
Mais tout simplement l’installation par des clients, à leur insu, d’un logiciel malveillant conçu pour leur soutirer des informations personnelles. Le malware est installé en se faisant passer pour une application populaire. La France serait l’un des pays les plus visés, selon Cleafy. Contactée par ZDNET.fr, l’entreprise n’avait pas encore répondu ce mardi matin à notre demande de précision sur le nombre d’utilisateurs français concernés.
Le logiciel malveillant prend en charge quatre langues, dont l’italien, l’espagnol et le turc en plus du français.
Reste que DroidBot a bien des caractéristiques intéressantes. Certes, de l’aveu même des experts de Cleafy, il ne “brille pas d’un point de vue technique”, étant “assez similaire aux familles de malwares connues”. Très classiquement, il combine un enregistreur de frappe et différentes techniques de surveillance. En visant bien sûr les transactions bancaires, mais aussi les échanges de crypto-actifs.
Loué 3000 dollars par mois
Mais, poursuit Cleafy, son modèle opérationnel serait plus étonnant, avec une offre de location à des tiers d’environ 3000 dollars (un peu moins d’euros) par mois. En tout, 17 groupes cybercriminels affiliés ont été identifiés. Ce genre d’offre de service criminelle n’est pourtant pas nouvelle, en témoigne cette recherche de Kaspersky en 2016. Mais selon Cleafy, le modèle de l’offre malveillante “as a service” n’est “pas couramment observé dans ce type de menace”. Et de citer les exemples de malware Sharkbot, Copybara et Toxic Panda, tous “gérés en interne”.
Autre particularité qui a attiré l’œil de Cleafy. Le malware utilise le protocole MQTT (Message Queuing Telemetry Transport) pour exfiltrer les données volées. “Ce protocole léger et efficace, traditionnellement utilisé dans les systèmes IoT et de messagerie en temps réel, permet à DroidBot d’exfiltrer les données de manière transparente à partir des appareils infectés”, signale l’entreprise.
Un choix “particulièrement remarquable”, poursuit-elle. L’utilisation de ce protocole dans des programmes malveillants est en effet assez rare. Cela améliorait donc, jusqu’ici, la furtivité du malware. A voir si cela ne va pas désormais faciliter sa détection.