Menaces sur les marchés financiers : DroidBot cible les institutions bancaires et les échanges de cryptomonnaies
Un nouveau cheval de Troie à distance pour Android, nommé DroidBot, a mis en danger pas moins de 77 institutions financières, échanges de cryptomonnaies et organisations nationales. Ce cheval de Troie combine des techniques d’attaque VNC cachées et d’overlay avec des capacités de type logiciel espion, telles que le keylogging et la surveillance de l’interface utilisateur. De plus, il utilise une communication à double canal, transmettant les données sortantes via MQTT et recevant les commandes entrantes via HTTPS, offrant ainsi une flexibilité opérationnelle et une résilience accrues.
Un malware en activité depuis juin 2024
La société italienne de prévention de la fraude a découvert ce malware fin octobre 2024, bien que des preuves suggèrent qu’il était actif depuis au moins juin, fonctionnant selon un modèle Malware-as-a-Service (MaaS) moyennant des frais mensuels de 3 000 $. Pas moins de 17 groupes affiliés ont été identifiés comme payant pour accéder à l’offre. Cela comprend également l’accès à un panneau web à partir duquel ils peuvent modifier la configuration pour créer des fichiers APK personnalisés intégrant le malware, ainsi que interagir avec les appareils infectés en émettant diverses commandes.
Une menace principalement en Europe
Les campagnes exploitant DroidBot ont été principalement observées en Autriche, en Belgique, en France, en Italie, au Portugal, en Espagne, en Turquie et au Royaume-Uni. Les applications malveillantes sont déguisées en applications de sécurité génériques, Google Chrome ou en applications bancaires populaires. Le cheval de Troie abuse des services d’accessibilité d’Android pour recueillir des données sensibles et contrôler à distance l’appareil Android, se démarquant par l’utilisation de deux protocoles différents pour le contrôle opérationnel.
MQTT et HTTPS : des protocoles clés
Plus précisément, DroidBot utilise HTTPS pour les commandes entrantes, tandis que les données sortantes des appareils infectés sont transmises à l’aide d’un protocole de messagerie appelé MQTT. « Cette séparation renforce sa flexibilité opérationnelle et sa résilience », ont déclaré les chercheurs. « Le courtier MQTT utilisé par DroidBot est organisé en différents sujets qui catégorisent les types de communication échangés entre les appareils infectés et l’infrastructure de contrôle et de commande ». Les acteurs derrière cette menace, bien que leurs origines exactes ne soient pas connues, sont des locuteurs turcs.
Source : thehackernews.com