ISGroup Conseil en Cybersécurité

Malware Android DroidBot : les applications bancaires et crypto dans le viseur via l’abus des services d’accessibilité

DroidBot est un nouveau malware bancaire pour Android identifié pour la première fois en juin 2024. Opérant en tant que malware-as-a-service (MaaS), il cible plus de 77 applications bancaires et de cryptomonnaies à travers l’Europe, tout en montrant des signes d’expansion vers d’autres zones géographiques. Le malware exploite les services d’accessibilité d’Android, permettant aux attaquants de voler des identifiants, de manipuler l’appareil et de le contrôler à distance.

Date05-12-2024 09:49:13
Informations
  • Exploitation active

Résumé technique

DroidBot est un malware Android sophistiqué distribué via des plateformes MaaS au coût de 3 000 $/mois. Il est utilisé par au moins 17 groupes affiliés d’acteurs malveillants, chacun personnalisant les charges utiles pour cibler des applications et des régions spécifiques. Le malware se déguise souvent en applications légitimes telles que Google Chrome, Google Play ou Android Security. Ses fonctionnalités principales incluent :

  • Keylogging : intercepte toutes les touches saisies par l’utilisateur.
  • Overlaying : affiche de fausses pages de connexion par-dessus les interfaces des applications bancaires et crypto légitimes pour collecter les identifiants.
  • Interception SMS : intercepte les messages SMS, en particulier ceux contenant des mots de passe à usage unique (OTP).
  • Contrôle à distance : inclut un module VNC (Virtual Network Computing) qui permet aux attaquants de manipuler l’appareil à distance.

L’utilisation des services d’accessibilité par DroidBot lui permet de surveiller l’activité de l’utilisateur, de simuler des interactions et de dissimuler sa présence en obscurcissant l’écran de l’appareil.

Recommandations

Pour se protéger contre DroidBot :

  1. Bonnes pratiques pour l’installation d’applications :

    • Télécharger des applications uniquement à partir de sources fiables, comme Google Play.
    • Vérifier les développeurs des applications et analyser attentivement les avis avant le téléchargement.

  2. Sensibilisation aux autorisations :

    • Refuser les demandes d’autorisations inutiles ou suspectes, en particulier l’accès aux services d’accessibilité.
    • Réévaluer les autorisations accordées aux applications installées via les paramètres de l’appareil.

  3. Activation des fonctionnalités de sécurité :

    • Activer Google Play Protect pour effectuer des analyses et bloquer les applications malveillantes.
    • Maintenir le système d’exploitation Android et toutes les applications à jour pour corriger les vulnérabilités éventuelles.

  4. Surveillance et réponse :

    • Être attentif aux signes d’activité non autorisée, comme des applications demandant de nouvelles autorisations ou des comportements anormaux de l’appareil.
    • Désinstaller immédiatement les applications suspectes et réinitialiser les identifiants des comptes potentiellement compromis.

  5. Appliquer des contrôles d’entreprise (pour les organisations) :

    • Utiliser des solutions de gestion des appareils mobiles (MDM) pour limiter l’installation d’applications.
    • Former les employés aux risques de phishing et de malware sur les appareils mobiles.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *