Un nouveau malware baptisé DroidBot, un trojan d’accès à distance (RAT), s’attaque à 77 institutions bancaires, plateformes d’échange de cryptomonnaie et organisations nationales. Ce malware sophistiqué combine des techniques avancées avec une approche économique innovante qui attire de nombreux cybercriminels.
Un cocktail dangereux de fonctionnalités
Selon les chercheurs de Cleafy, Simone Mattia, Alessandro Strino et Federico Valentini, DroidBot est un trojan moderne doté de multiples capacités :
- Attaque par VNC caché et superposition, permettant un contrôle à distance invisible.
- Espionnage via des fonctions telles que la surveillance de l’interface utilisateur et la journalisation des frappes clavier (keylogging).
- Communication à double canal, exploitant deux protocoles : MQTT pour les données sortantes et HTTPS pour les commandes entrantes.
Ces caractéristiques offrent une flexibilité et une résilience accrues dans son fonctionnement.
Un modèle économique en pleine expansion
Découvert en octobre 2024 par Cleafy, DroidBot semble actif depuis juin 2024, fonctionnant comme un Malware-as-a-Service (MaaS). Les affiliés, au nombre de 17, paient 3 000 $ par mois pour accéder à cette plateforme. Ce tarif inclut :
- Un panneau de gestion web, permettant de personnaliser les fichiers APK infectés.
- Une interface pour interagir avec les appareils compromis via diverses commandes.
Les campagnes utilisant DroidBot ciblent principalement l’Europe (France, Espagne, Belgique, Italie, etc.) et la Turquie. Les applications malveillantes se présentent comme des applications de sécurité génériques, des versions contrefaites de Google Chrome ou encore des applications bancaires populaires.
Un contrôle stratégique des données
DroidBot se distingue par sa capacité à exploiter les services d’accessibilité Android, une fonction destinée aux personnes en situation de handicap, pour accéder aux données sensibles et contrôler les appareils infectés.
Deux protocoles gèrent ses communications :
- HTTPS : pour recevoir des commandes.
- MQTT : un protocole de messagerie, pour transmettre les données collectées.
Le recours à MQTT, organisé en sujets spécifiques (topics), optimise les échanges entre les appareils infectés et l’infrastructure de commande (C2).
Origines et particularités
Bien que les auteurs de DroidBot restent anonymes, des indices linguistiques dans le code suggèrent qu’il s’agit de locuteurs turcs. Les chercheurs notent que, techniquement, ce malware n’innove pas par rapport à d’autres familles de malwares connus. Toutefois, son modèle opérationnel basé sur le MaaS est particulièrement rare dans ce type de menace.
Source : https://thehackernews.com/2024/12/this-3000-android-trojan-targeting.html
