DroidBot n'a pas fini de multiplier les attaques : repéré depuis le mois de juin dernier, le malware renforce sa campagne malveillante et cible notamment 8 banques françaises.
Il s'agit d'un cheval de Troie développé par un groupe de cybercriminels d'origine turque, qui s'infiltre dans les applications bancaires françaises diffusées sur Android. Plus particulièrement, le malware cible les applications de Boursorama, du Crédit Agricole, LCL, la Banque Postale, la Société Générale, le CIC, la Banque populaire ainsi que du Crédit Mutuel.
Basé sur le framework B4A habituellement utilisé pour développer des applications natives, le malware se fait passer pour des applications de sécurité ou des services Google. DroidBot réussit ainsi à détourner les services d'accessibilité d'Android pour passer tous les radars (notamment en utilisant le protocole MQTT) et demander diverses permissions qui permettent ensuite de mettre en place une récupération massive de données personnelles : interceptions de SMS de validation bancaire, keylogger, création de fausses pages de connexion par-dessus les applications réelles et légitimes... Le malware peut également prendre le contrôle des applications pour simuler des actions de l'utilisateur lui-même.
Pour éviter de tomber dans le panneau, il est conseillé de ne télécharger les applications sensibles que sur le Play Store de Google et de privilégier l'authentification à double facteur autant que possible.
