Un nouveau logiciel malveillant semble viser les applications mobiles bancaires depuis l’été dernier. La Fédération bancaire française tente de rassurer en précisant que les banques françaises ne sont pas la cible d’une cyberattaque. La transformation numérique de ces dernières années multiplie les points de vulnérabilité qui mettent sous pression le secteur financier.L'information qui se répandait comme une traînée de poudre a obligé la Fédération bancaire française (FBF) à réagir ce week-end : non, le malware (logiciel malveillant) « DroidBot » ne cible par les banques à travers l'Europe, mais les utilisateurs de smartphones. « La Fédération bancaire française (FBF) tient à démentir ce que certains titres d'articles laissent entendre en écrivant "cyberattaque contre 8 banques françaises" », souligne ainsi l'organisation professionnelle du secteur.
« Il ne s'agit pas ici d'une cyberattaque contre les banques françaises ou leurs applications, mais d'un "malware" qui est installé par des utilisateurs sur leurs téléphones sans que cela n'ait un rapport avec une banque », précise donc la FBF.
Détecté en juin 2024
De quoi s'agit-il exactement ? Le logiciel DroidBot est un « cheval de Troie » sous Android « sophistiqué », selon la Cyber Threat Intelligence de Thales, détecté pour la première fois en en juin 2024 par Clearfy. Il vise spécifiquement les applications bancaires ou les plateformes de cryptomonnaies en Europe, plus particulièrement en France, en Espagne et au Portugal, et il semble se diriger désormais vers l'Amérique latine. Une fois installé sur le smartphone via des applications populaires usurpées comme Google Play, le logiciel déploie des fonctionnalités, comme des connexions frauduleuses superposées à des interface bancaires ou l'interception de SMS, avec pour objectif de voler les codes d'authentification.
Ce logiciel fonctionne comme un « malware-as-a-service » (MaaS), sous forme d'abonnement aux cybercriminels, et qui serait, actuellement utilisé par 17 groupes affiliés, dont certains partagent une infrastructure commune. L'origine de ce malware serait turcophone. « DroidBot s'inscrit dans une tendance globale des malwares Android financiers exploitant des capacités d'espionnage avancées, ce phénomène est favorisé par la démocratisation des MaaS », note le Cyber Threat Intelligence. En clair, ce modèle permet à des cybercriminels sans grande compétence technique de lancer des attaques.
