Le logiciel malveillant se distingue par son modèle économique en Malware-as-a-Service, rare pour ce type de piratage, et par une technique d’exfiltration des données particulièrement discrète.

La société de cybersécurité italienne Cleafy a publié, le 4 décembre 2024, un rapport sur DroidBot, un cheval de Troie bancaire d’origine turque visant les terminaux Android. Ce logiciel malveillant se dissimule classiquement dans une fausse application populaire. Une fois installé sur un appareil, il déploie un enregistreur de frappe et des outils de surveillance, pour cibler transactions bancaires et échanges de crypto-actifs.

DroidBot est disponible dans quatre langues : turc, français, espagnol et italien. Selon Cleafy, la France serait l’un des pays les plus touchés. Le logiciel malveillant se distingue par son mode de distribution : il s’agit d’un Malware-as-a-Service (MaaS), loué 3 000 dollars (2 850 euros) par mois à des affiliés. Ce procédé est assez rare pour les chevaux de Troie bancaires, qui sont le plus souvent utilisés exclusivement par le groupe qui les a développés.

L’autre spécificité principale du MaaS est son usage du protocole MQTT (Message Queuing Telemetry Transport) pour exfiltrer les données volées. « Ce protocole léger et efficace, traditionnellement utilisé dans les systèmes IoT et de messagerie en temps réel, permet à DroidBot d’exfiltrer les données de manière transparente à partir des appareils infectés », précise Cleafy.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.