Ce cheval de Troie bancaire se fait passer pour un IPTV : Klopatra vole l'argent des utilisateurs espagnols

L'Espagne est une fois de plus sous le feu des projecteurs en matière de cybercriminalité : ces derniers jours, des experts en cybersécurité ont lancé une alerte concernant Klopatra, un nouveau cheval de Troie bancaire sophistiqué pour Android qui se déguise en application de télévision sur Internet (IPTV) ou encore en réseau privé virtuel (VPN), afin de voler de l'argent directement sur les comptes bancaires de ses victimes.

Votre objectif principal ? Utilisateurs espagnols qui recherchent sur Internet des applications pour regarder du football gratuitement.

Un cheval de Troie déguisé en divertissement

Selon l'équipe Threat Intelligence de Cleafy, la société qui a identifié la menace, Klopatra est un cheval de Troie d'accès à distance (RAT) qui a commencé à circuler fin août : le malware est distribué sous le couvert de Mobdro, une application malveillante bien connue. streaming de contenus protégés par le droit d'auteur qui ont déjà été fermés par les autorités espagnoles en 2021. Les attaquants en font la promotion en profitant de l'attrait de proposer des chaînes sportives « gratuites ».

Une fois que la victime installe l'application, elle demande des autorisations d'accessibilité, une fonctionnalité légitime conçue pour aider les personnes handicapées. Mais en les accordant, l’utilisateur donne au cheval de Troie le contrôle total de l’appareil. À partir de ce moment, Klopatra peut enregistrer l'écran, enregistrer les frappes au clavier, accéder aux applications installées et même déverrouiller le téléphone sans intervention de l'utilisateur.

L'attaque : quand tu dors, Klopatra travaille

Le comportement du malware a surpris les chercheurs en raison de son niveau de planification et de furtivité : Klopatra attend que le téléphone mobile soit inactif, généralement la nuit, lorsqu'il détecte que l'écran est éteint. À ce stade, l'attaquant accède à l'appareil à distance, saisit le code PIN ou le schéma de déverrouillage, réduit la luminosité de l'écran et accède à l'application bancaire de la victime. Une fois à l’intérieur, effectuez des virements successifs jusqu’à ce que le compte soit complètement vidé.

Le processus peut être complété en quelques minutes, sans que le propriétaire du téléphone ne remarque aucune activité étrange. Au matin, la victime découvre simplement que son équilibre a disparu.

  • L'Espagne et l'Italie, principales cibles : les enquêtes de Cleafy révèlent que l'Espagne et l'Italie sont les pays les plus touchés. Les deux partagent un élément commun : la popularité de l’IPTV avec des contenus non autorisés et le football comme attraction principale. Les cybercriminels profitent de ce phénomène pour attirer les utilisateurs à la recherche d’alternatives gratuites aux services de télévision payante.

  • De Türkiye avec amour. Cleafy a identifié deux campagnes actives et au moins 3 000 appareils compromis, dont environ 1 000 appartiennent à des utilisateurs espagnols. Les serveurs de commande et de contrôle (C2) utilisés par le malware désignent un groupe criminel turcophone qui opère de manière professionnelle et organisée.

Malware très sophistiqué

Klopatra n’est pas un simple cheval de Troie parmi d’autres. Il utilise des techniques avancées d’évasion et de dissimulation qui le rendent difficile à détecter, même par l’antivirus le plus puissant. Parmi eux, se distingue l'utilisation de Virbox, un outil commercial de protection logicielle qui crypte et masque le code malveillant, empêchant les systèmes d'analyse de l'identifier.

De plus, il utilise des bibliothèques Android natives au lieu du code Java habituel, ce qui complique le travail des analystes et renforce sa persistance au sein de l'appareil. Selon les experts, Klopatra représente un saut qualitatif dans la professionnalisation de la cybercriminalité mobile. Il ne s’agit plus de simples escroqueries, mais d’opérations structurées, dotées de leur propre infrastructure et d’une intention claire de monétiser les infections à grande échelle.

Comment se protéger

La principale porte d'entrée des logiciels malveillants est l'installation d'applications en dehors du Play Store, ce qui est courant chez ceux qui cherchent à regarder du football ou des séries sans payer. Les spécialistes recommandent de suivre quelques directives de base pour éviter de tomber dans le piège :

  • N'installez pas d'applications provenant de sources inconnues. Téléchargez uniquement à partir des magasins officiels tels que Google Play ou l'App Store.
  • Méfiez-vous des offres trop belles. Si une application promet un accès gratuit à du contenu payant, il s’agit probablement d’une fraude.
  • Vérifiez les autorisations avant d’accepter. Un service de télévision n'a pas besoin d'accéder à vos services d'accessibilité ou à vos SMS bancaires.
  • Gardez le système d'exploitation à jour. Les mises à jour peuvent corriger des vulnérabilités que des attaquants pourraient exploiter.
  • Activez les alertes bancaires par SMS ou email pour détecter en temps réel les virements non autorisés.

Par | Europe Presse

Eric

Eric

Je m'appelle Eric, rédacteur passionné pour le média Prodiris, spécialisé dans les actualités du monde du web. Ma curiosité insatiable et mon expertise me permettent de déchiffrer les tendances numériques pour les partager avec précision et enthousiasme auprès de nos lecteurs.

Contact

[email protected]

Newsletter

Rejoignez notre newsletter pour des astuces chaque semaine