Les chercheurs d’Eset ont débusqué une nouvelle plateforme complète de type malware-as-a-service (MaaS), intitulée BTMOB. La plateforme met à disposition des cybercriminels un vaste arsenal d’outils dédiés aux attaques informatiques. Promue sur Telegram, elle est accessible pour 700 dollars par mois ou 5 000 dollars pour une licence à vie. Un abonnement mensuel d’assistance est également proposé aux hackers. C’est peu coûteux « en comparaison des bénéfices qu’une opération frauduleuse réussie peut générer », soulignent les experts. Comme l’explique Eset, BTMOB est une évolution du malware SpySolr, qui a été identifié pour la première fois en février 2025.
A lire aussi : Google veut s’attaquer aux apps Android « mortes » qui traînent sur votre smartphone
Un créateur d’applications Android malveillantes
Selon l’enquête d’Eset, BTMOB se distingue de la concurrence par son interface de construction d’APK. Par le biais de cette interface, des pirates, même avec des compétences rudimentaires en programmation, peuvent créer une application Android piégée sur mesure, en fonction de leurs objectifs.
Au moment de la configuration, l’utilisateur peut notamment choisir les permissions que l’application demandera à l’installation sur le smartphone de la victime. C’est généralement en réclamant une montagne de permissions que les applications malveillantes arrivent à leurs fins et finissent par accéder à des données personnelles. Le pirate peut aussi configurer des actions automatiques comme désactiver Google Play, masquer l’icône de l’application pour compliquer sa suppression, ou encore empêcher la mise en veille du téléphone.
Par ailleurs, le kit BTMOB permet de concevoir facilement des pages de phishing personnalisées. Les criminels peuvent reproduire l’identité visuelle d’une marque, d’un service de streaming, d’une plateforme de cryptomonnaies ou même d’une agence gouvernementale ou des autorités fiscales et douanières. Ces pages frauduleuses peuvent être affichées ou mises en avant par l’application configurée par le biais de BTMOB. L’interface permet « à n’importe qui de générer de nouveaux malwares et d’adapter les leurres d’hameçonnage à des régions spécifiques », note Eset.
À lire aussi : Ces 28 applis Android prétendaient espionner n’importe quel smartphone, et 7 millions d’utilisateurs ont été piégés
Vol de données et services d’accessibilité
En général, les applications conçues avec BTMOB sont diffusées par un message ou un lien, partagé par e-mail, via les réseaux sociaux ou dans une publicité. La victime est redirigée vers un faux site qui imite Google Play ou une boutique d’applications tierce connue. Elle est alors encouragée à installer le fichier APK malveillant. Une fois installée, l’application demande l’accès aux services d’accessibilité Android, une fonctionnalité conçue pour aider les personnes handicapées à se servir d’un smartphone. Ces services sont massivement détournés par les logiciels malveillants et les arnaques en ligne.
Une fois installé, BTMOB donne à l’attaquant un contrôle quasi total sur l’appareil infecté. Il peut exfiltrer des données sensibles, faire des captures d’écran, enregistrer l’activité de l’écran en temps réel, intercepter des transactions financières et prendre le contrôle à distance du téléphone. Tous les coups sont permis. De nouvelles variantes du malware, incluses dans le kit vendu par abonnement, sont constamment mises en ligne. De facto, les équipes de sécurité ont bien du mal à suivre le mouvement et à contrecarrer toutes les versions.
« La combinaison d’une diffusion par hameçonnage, d’outils de création d’applications prêts à l’emploi et de capacités de prise de contrôle des appareils fait de BTMOB une menace à surveiller », indique Eset dans son rapport de sécurité.
Comme toujours, on vous recommandera de ne pas installer d’applications en dehors du Play Store. Avant d’installer une app, assurez-vous de bien vous trouver sur la boutique en ligne, notamment en consultant l’adresse URL. Notez que BTMOB ne peut s’installer que si vous acceptez de télécharger une appli depuis une source extérieure, ce que Google déconseille à tous les utilisateurs Android. Enfin, méfiez-vous des applications mises en avant dans des messages non sollicités, ou des publicités, que ce soit sur Google, Facebook ou Instagram.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : Eset
