Depuis plusieurs mois, un nom circule dans les cercles de la cybersécurité et commence à inquiéter sérieusement les experts comme les utilisateurs Android : BTMOB RAT. Ce malware sophistiqué, capable de prendre le contrôle total d’un smartphone à distance, se répand activement via des sites de phishing bien ficelés. Retour sur une menace grandissante qui évolue sous nos yeux.
Un malware qui ne se contente pas de voler des mots de passe
À première vue, BTMOB RAT (Remote Access Trojan) ressemble à beaucoup de logiciels malveillants déjà connus. Mais ce cheval de Troie va bien plus loin. Détecté pour la première fois fin janvier 2025 par le laboratoire Cyble Research and Intelligence Labs (CRIL), il est rapidement devenu l’un des malwares mobiles les plus redoutés.
BTMOB RAT est en réalité le descendant direct du SpySolr, lui-même basé sur le tristement célèbre Crax RAT. Son mode opératoire : usurper des sites de streaming connus (comme iNat TV) ou des plateformes de minage pour inciter les victimes à installer des applications piégées.
Une fois installé, le malware demande à activer le service d’accessibilité Android. Cette manœuvre permet de prendre le contrôle total du téléphone, de lire les frappes clavier, d’automatiser le vol de données et même de déverrouiller le smartphone à distance. Un cauchemar numérique pour les victimes.
Des fonctionnalités dignes d’un film de science-fiction
Ce qui distingue BTMOB RAT des autres malwares, c’est l’étendue de ses capacités :
- Contrôle de l’écran en direct : les pirates peuvent voir en temps réel ce que fait l’utilisateur.
- Enregistrement audio : le micro du téléphone devient une oreille indiscrète.
- Vol d’identifiants et d’informations personnelles : grâce à des injections WebView sophistiquées.
- Manipulation de fichiers : les cybercriminels peuvent copier, supprimer ou modifier des fichiers.
- Keylogging (enregistreur de frappes) : toutes les touches tapées sont interceptées.
- Exécution de commandes à distance : via un canal WebSocket sophistiqué.
Selon Cyble, BTMOB RAT communique avec un serveur C&C (Command & Control) qui envoie des instructions en temps réel. Cette infrastructure permet aux hackers de mener des actions précises sur les appareils infectés, parfois sans que l’utilisateur ne s’en aperçoive.
Un malware en constante évolution et commercialisé ouvertement
Contrairement à d’autres malwares qui évoluent discrètement, BTMOB RAT est vendu ouvertement sur Telegram par son créateur, connu sous le pseudonyme EVLF. Pour 5 000 dollars, les pirates peuvent acheter une licence à vie, avec des mises à jour mensuelles facturées 300 dollars. Une preuve supplémentaire que la cybercriminalité fonctionne désormais comme un véritable business.
Depuis décembre 2024, plus de 15 versions du malware ont été repérées. La dernière, la version 2.5, ajoute même la possibilité de cibler les codes PIN d’Alipay grâce à des attaques par superposition, une technique déjà utilisée par les malwares bancaires les plus sophistiqués.
Selon les chercheurs de Zimperium, d’autres versions encore plus avancées (jusqu’à la v3.2) seraient déjà en circulation. Le marché noir des malwares mobiles est plus actif que jamais.
Une menace reconnue par les autorités officielles
Le 6 mai 2025, la Direction Générale de la Sécurité des Systèmes d’Information du Maroc a lancé une alerte officielle, classant BTMOB RAT comme une menace de « haut impact ». Cette reconnaissance par un gouvernement montre que le problème dépasse désormais le cadre des experts en cybersécurité.
En Europe, plusieurs entreprises de cybersécurité, dont Orange Cyberdefense et Kaspersky, surveillent également de près la progression de BTMOB RAT.
Comment se protéger ? Les conseils essentiels
Pour limiter les risques, voici quelques règles de cybersécurité à appliquer immédiatement :
✅ Téléchargez vos applications uniquement depuis le Google Play Store ou l’App Store.
✅ Activez Google Play Protect sur votre appareil Android.
✅ Utilisez un antivirus fiable.
✅ Mettez régulièrement à jour votre smartphone et vos applications.
✅ Évitez de cliquer sur des liens suspects, surtout ceux reçus par SMS ou e-mail.
✅ Soyez attentif aux permissions demandées par les applications.
✅ Activez l’authentification à deux facteurs (2FA) pour tous vos comptes sensibles.
Enfin, si une application vous demande d’activer les services d’accessibilité sans raison claire… méfiance absolue !
BTMOB RAT : un aperçu de la cybercriminalité 2.0
BTMOB RAT illustre une réalité inquiétante : les malwares Android sont devenus aussi complexes que les malwares PC. Entre piratage à distance, espionnage en temps réel et commercialisation ouverte sur les réseaux sociaux, les cybercriminels ont franchi un nouveau palier.
Pour les utilisateurs, cela signifie qu’il ne faut plus considérer les smartphones comme de simples téléphones. Ce sont de véritables ordinateurs de poche, et à ce titre, ils méritent une protection adaptée.
Restez vigilant, restez informé.