Un nouveau cheval de Troie bancaire prend le contrôle des comptes, déclenche des transferts automatiques d'argent et vide les portefeuilles crypto : selon des chercheurs en cybersécurité

Des chercheurs en sécurité affirment qu'un nouveau cheval de Troie bancaire Android est apparu, doté de la capacité d'établir un accès à distance, d'initier des virements bancaires automatiques et de voler des actifs numériques depuis des portefeuilles crypto.

La société de cybersécurité ThreatFabric indique avoir observé les premiers cas de RatOn, qu'elle décrit comme un « cheval de Troie bancaire entièrement fonctionnel » capable de prendre le contrôle des appareils et des comptes.

Selon les analystes MTI de ThreatFabric,

« Les cas où un cheval de Troie évolue d'un simple outil de relais NFC (communication en champ proche) vers un RAT sophistiqué doté de capacités ATS (Automated Transfer System) sont pratiquement inexistants. C'est pourquoi la découverte du nouveau cheval de Troie RatOn par les analystes MTI de ThreatFabric est particulièrement remarquable. RatOn combine des attaques classiques par superposition avec des virements automatiques et une fonctionnalité de relais NFC, ce qui en fait une menace particulièrement puissante. »

En plus de prendre le contrôle total des appareils infectés, les analystes indiquent que RatOn peut cliquer automatiquement dans les applications bancaires mobiles et saisir des codes PIN volés pour vider les fonds.

Le malware peut également déverrouiller des portefeuilles crypto tels que MetaMask, Trust Wallet, Phantom et Blockchain.com afin de voler les phrases de récupération.

Pour l’instant, ThreatFabric indique que les voleurs derrière RatOn semblent cibler les utilisateurs en République tchèque, avec la Slovaquie dans leur ligne de mire. Bien que le groupe semble opérer localement, la société avertit que RatOn possède les capacités d’attaquer à l’échelle mondiale.

ThreatFabric précise que l’entité derrière RatOn infecte les utilisateurs via des domaines à thématique adulte qui distribuent des applications dropper déguisées en installateurs tiers.

Le malware initie ensuite un processus de prise de contrôle de l’appareil en plusieurs étapes, donnant finalement aux attaquants une vue en direct de l’écran de l’appareil.

Image générée : Midjourney