Vous devez connaître les SaaS ou software as a service: il s’agit d’un logiciel accessible depuis internet comme Canva, Padlet… ne nécessitant pas d’installation sur votre matériel. Eh bien sachez qu’il existe maintenant des MaaS ou malware as a service! 😮
1️⃣ Comment ce MaaS fonctionne-t-il?
Les cybercriminels se professionnalisent de plus en plus. Un de ces groupes a mis sur le net en location un package permettant de déployer un cheval de troie bancaire pour les smartphones fonctionnant sous Android. Dit simplement, il permet de voler les identifiants de connexion de vos banques! 💣
Pour 3000$ par mois d’utilisation, vous avez à disposition:
. le malware Droidbot,de quoi personnaliser son apparence, et un crypteur qui rendra sa détection plus difficile.
. l’accès à 2 serveurs de type C&C (« command and control »). Ces derniers diffusent le malware à l’aide de phishing, exécutent les commandes du malware sur les téléphones infectés et prennent leur contrôle
. des outils d’administration pour récupérer les données volées
☠️ 17 cybercriminels auraient souscrit à ce service, contaminant des centaines de smartphones!
2️⃣ Quelle est le déroulement d’une attaque?
Concrètement:
🪤. la cible reçoit un lien HTTPS par phishing; DroidBot se présente comme application bancaire, ou bien de sécurité, ou encore comme un service Google.
🙈. Lorsqu’elle se connecte, le malware superpose par derrière l’écran de connexion de l’établissement financier attaqué et récupère ainsi tous les identifiants saisis par la victime.
. S’il y a un sms avec un code pour double authentification, DroidBot peut intercepter ce dernier et utiliser le code.
🥷. Les identifiants volés sont transférés au serveur avec le protocole MQTT (Message Queuing Telemetry Transport) difficilement identifiable par les antivirus. En effet ce protocole utilisé dans des messageries en temps réel est rarement associé à des activités malveillantes
3️⃣ Quelle est la cible de ce MaaS?
Comme dit précédemment, ce MaaS vise les établissements financiers. 🏦On peut notamment citer CIC, Bred, Banque Populaire, le Crédit Agricole, BNP Paribas ou encore AXA.
ℹ️ Une liste plus étendue peut être trouvée sur l’article source: https://www.cleafy.com/cleafy-labs/droidbot-insights-from-a-new-turkish-maas-fraud-operation
🎯Les pays touchés sont la France, le Royaume-Uni, l’Allemagne, l’Italie et la Turquie. Il semble que les programmeurs de ce malware parlent le turc. 🇹🇷
Les chercheurs de Cleafy qui ont découvert ce MaaS ont vu que 776 smartphones ont été infectés. Il n’est pas mentionné si ce chiffre concerne les 17 criminels ayant souscrit à DroidBot ou seulement l’un d’entre eux.
4️⃣ Comment se défendre contre ce MaaS?
Comptez d’abord et surtout sur vous-mêmes. Même si le serveur a été repéré et que les forces de police concernées aient agi, on ne sait pas si les cybercriminels ont été arrêtés. Si ce n’est pas le cas, il peuvent recommencer à nuire depuis un autre endroit.
☝️Ne vous connectez à votre banque que par le site que vous connaissez.
💡Je vous conseille de noter quelque part l’URL précise des sites bancaires auxquels vous vous connectez. Vérifiez-les à chaque connexion.
⚠️ Bien faire les mises à jour de sécurité, si votre téléphone le permet encore (voir article https://audaxiam.fr/blog/gestion-des-correctifs-de-securite-etes-vous-couverts/ )
🫵De façon générale, être au top en hygiène de sécurité. Il y a d’autres mesures essentielles permettant de protéger son smartphone. Etes-vous au point à ce sujet?
