Attention, possesseurs d’Android ! Un virus polymorphe s’infiltre en douce dans les smartphones de l’Hexagone, ciblant sans vergogne les comptes bancaires. Les experts tirent la sonnette d’alarme : DroidBot est à l’œuvre, et il ne vient pas pour contrôler vos notifications météo… mais pour vider vos économies !
Un nouveau malware, DroidBot, s’invite sur Android
Depuis juin 2024, un malware bancaire sophistiqué du nom de DroidBot fait trembler les utilisateurs de téléphones Android, en particulier les clients de huit banques françaises. Les chercheurs de Cleafy, spécialistes de la fraude en ligne, ont révélé sa présence à la fin du mois d’octobre 2024, et le virus n’a cessé d’étendre son champ d’action depuis lors.
Derrière ce maliciel, se cachent des pirates turcs organisés : ils commercialisent DroidBot sur le modèle du « Malware-as-a-Service » (MaaS). Autrement dit, pour la modique somme de 3 000 dollars par mois, tout gang mal intentionné peut s’offrir l’accès à ce redoutable outil. Dix-sept groupes ont déjà sauté sur l’occasion pour orchestrer leurs attaques. Qui a dit que le cybercrime n’était pas trendy ?
Cibles multiples : banques, cryptos… et la France en ligne de mire
DroidBot ne fait pas dans le détail : on compte 77 entités distinctes dans sa ligne de mire, dont des banques, des plateformes financières et des exchanges de cryptomonnaies comme Binance, KuCoin, Kraken, OkCoin et des wallets tels que Kraken. Parmi ses victimes favorites, plusieurs banques françaises sont listées, même si leur nom n’est pas détaillé dans les informations communiquées.
Au total, Cleafy a répertorié 776 intrusions dans des pays européens majeurs, dont la France, l’Italie, le Royaume-Uni, la Turquie et l’Allemagne, avec l’Espagne et le Portugal également visés. Et petite info pour les pessimistes : quatre pays, dont la France, concentrent à eux seuls l’essentiel des attaques. Avis à ceux qui pensaient que seul leur oncle resté coincé dans les années 90 se faisait arnaquer sur Internet : plus personne n’est à l’abri !
Une procédure d’infection bien rodée
La technique de DroidBot est aussi simple qu’efficace – et terriblement vicieuse. D’abord, il se grime en application inoffensive déjà présente sur votre mobile : Google Chrome, le Play Store, ou même une fausse appli baptisée « Android Security ». De quoi tromper la vigilance du plus aguerri, surtout si l’on télécharge en dehors du Play Store sur un site suspect ou via un fichier APK peu recommandable.
Une fois l’appli installée, la machinerie se met en route :
- Enregistrement de toutes vos frappes au clavier (vos identifiants bancaires n’ont plus de secret !)
- Interception des SMS à la recherche de codes d’accès
- Affichage de fenêtres malveillantes factices au-dessus des vraies applications bancaires ou financières
- Visualisation en temps réel de votre écran
Ces astuces confèrent à DroidBot un pouvoir de nuisance rare : il suffit de quelques identifiants subtilisés pour ouvrir la voie à des virements bancaires effectués à l’insu de l’utilisateur. Un vrai cauchemar pour la tranquillité financière…
DroidBot exploite habilement les services d’accessibilité d’Android, à l’origine pensés pour aider les personnes malvoyantes. Grâce aux droits élevés accordés, le malware prend le contrôle de l’appareil infecté : il simule des interactions, appuie sur des boutons, remplit des formulaires, navigue dans les applications… bref, il utilise le téléphone comme s’il était l’usager lui-même, mais à des fins bien moins altruistes !
Des pirates organisés, une menace en évolution… et des banques sur le qui-vive
Derrière l’efficacité de DroidBot, on devine la patte d’une organisation bien huilée. Les cybercriminels disposent d’un panneau d’administration pour planifier les attaques, personnaliser le ciblage sur certaines applications ou langues, et obtenir une assistance directe sur Telegram – service clientèle digne d’une start-up innovante, si l’on oublie qu’ici tout est illégal. Des mises à jour régulières sont également proposées. Cleafy relève la grande sophistication et la capacité d’adaptation du virus.
Surtout, l’équipe annonce que le logiciel est encore en développement actif. On peut donc s’attendre – avec une joie toute relative – à de nouvelles fonctionnalités, ainsi qu’à un élargissement du champ d’attaque à d’autres banques et, à terme, à d’autres régions du monde (l’Amérique latine est dans le viseur).
Face à la montée des inquiétudes, la Fédération française bancaire (FBF) a publié un communiqué : il ne s’agit pas d’une attaque visant spécifiquement les applications bancaires, mais d’un virus installé (souvent sans le savoir) par les utilisateurs eux-mêmes. L’organisation rappelle que la sécurité reste un enjeu crucial pour les banques, qui investissent dans des moyens toujours plus performants pour contrer la fraude.
Conseil final : prudence, clics, et Play Store obligatoires !
Pour éviter de tomber dans le piège de DroidBot, un mot d’ordre : n’installez jamais d’applis provenant de sites externes au Play Store ! Pour l’instant, ce malware n’a pas infiltré la plateforme officielle de Google. Quand la cybersécurité se résume à une simple habitude de téléchargement, autant en profiter ! Restez vigilants, car le vrai virus, c’est parfois la curiosité…