Une nouvelle menace plane sur les utilisateurs de smartphones Android en Europe. Identifié par les chercheurs en cybersécurité de Cleafy, un cheval de Troie bancaire inédit nommé Klopatra fait des ravages. Attribué à un groupe de pirates informatiques turcs, ce logiciel malveillant se distingue par sa sophistication et sa capacité à opérer de manière totalement invisible. Plus de 3 000 appareils auraient déjà été infectés, principalement en Espagne et en Italie, et le bilan ne cesse de s'alourdir.
Comment ce virus parvient-il à infecter les téléphones ?
L'infection initiale se fait par une méthode de social engineering classique mais efficace. Klopatra se cache dans une application frauduleuse baptisée "Modpro IP TV + VPN", distribuée en dehors des canaux officiels comme le Google Play Store. Une fois installée, l'application réclame une série d'autorisations inhabituelles, un premier signal d'alarme qui devrait alerter l'utilisateur.
Le véritable danger se manifeste lorsque l'application malveillante réclame l'accès aux services d’accessibilité d’Android. Conçus à l'origine pour aider les personnes en situation de handicap, ces outils sont régulièrement détournés par les pirates. Ils leur confèrent un pouvoir quasi illimité sur l'appareil, leur permettant de lire le contenu de l'écran, d'enregistrer les frappes au clavier et de simuler des clics sans aucune interaction de la part de la victime.
Quelle est sa méthode pour voler l'argent ?
Le mode opératoire de Klopatra est particulièrement sournois. Le virus attend que le téléphone soit inactif, par exemple la nuit, lorsque son propriétaire dort et que l'appareil est en charge. À ce moment-là, les pirates prennent les commandes de manière furtive.
Pour y parvenir, le malware active un protocole de contrôle à distance, le Virtual Network Computing (VNC), mais dans une version cachée. Pour masquer leurs manœuvres, les attaquants affichent un écran noir sur le mobile, donnant l'impression qu'il est simplement en veille. Derrière cette façade, ils naviguent librement dans l'interface, lancent l'application bancaire, ajoutent de nouveaux bénéficiaires et exécutent des virements, vidant ainsi le compte de la victime en silence.
Pourquoi Klopatra est-il si difficile à détecter ?
La force de ce cheval de Troie bancaire réside dans son architecture pensée pour l'évasion. Contrairement à de nombreux malwares développés en Java, Klopatra déplace ses fonctionnalités essentielles vers des bibliothèques de code natif (C/C++), ce qui complique grandement son analyse par les outils de sécurité traditionnels.
Sa principale innovation réside dans l'intégration de Virbox, une solution commerciale de protection de code rarement observée dans l'écosystème des malwares Android. Cet outil ajoute une couche d'obfuscation (brouillage du code) et des mécanismes anti-débogage robustes, le rendant extrêmement résistant aux tentatives de rétro-ingénierie. Klopatra est également programmé pour détecter et tenter de désinstaller les applications de sécurité et les antivirus présents sur le téléphone, assurant ainsi sa survie sur le long terme.
