King of Geek » Cybersécurité : le cheval de Troie « DoubleTrouble » infecte les smartphones via Discord
Sécurité

Cybersécurité : le cheval de Troie « DoubleTrouble » infecte les smartphones via Discord

par KingofgeeK
Rédigé par KingofgeeK 0 commentaires
Le cheval de Troie bancaire DoubleTrouble

Une nouvelle version du malware DoubleTrouble, un cheval de Troie bancaire ciblant Android, se propage désormais via des liens hébergés sur la plateforme Discord. Les chercheurs alertent sur une menace sophistiquée aux capacités redoutables.

C’est un nom qui commence à faire frémir les spécialistes en cybersécurité : DoubleTrouble. Derrière ce pseudonyme aux airs de film d’action, se cache un logiciel malveillant hautement évolué, capable de subtiliser en toute discrétion des identifiants bancaires, des données personnelles sensibles et même de prendre le contrôle quasi complet d’un smartphone Android.

Selon les analyses publiées cette semaine par les experts en sécurité de la société américaine Zimperium, cette nouvelle version du trojan DoubleTrouble se diffuse désormais par le biais de la plateforme Discord, un service de messagerie prisé des jeunes et des communautés de joueurs. Un canal inattendu, mais redoutablement efficace.

Discord, nouvel eldorado des cybercriminels

Historiquement, les malwares de type bancaire étaient dissimulés derrière de faux sites internet imitant ceux de banques européennes. Les internautes, attirés par des promesses de récompenses ou des alertes frauduleuses, y téléchargeaient involontairement l’application infectée. Mais désormais, les cybercriminels semblent avoir changé de terrain de chasse.

Discord, qui compte plus de 200 millions d’utilisateurs actifs dans le monde, dont plusieurs millions en France, est utilisé pour héberger les fichiers d’installation (APK). Une fois le lien diffusé dans une discussion de groupe ou un canal public, un simple clic suffit à initier l’infection du terminal.

Un fonctionnement d’une inquiétante efficacité

L’ingéniosité de DoubleTrouble réside dans sa discrétion et sa technicité. Une fois installé, le malware se présente comme une application anodine, affichant même l’icône officielle de Google Play, afin de semer le doute. Mais derrière cette façade inoffensive, l’application exfiltre des données sensibles en continu, sans éveiller de soupçon.

Première étape : l’application sollicite l’accès aux services d’accessibilité Android. Ce type d’autorisation, souvent ignoré des utilisateurs, permet pourtant au malware de lire l’écran, simuler des clics et intercepter chaque action effectuée.

« Ces services, une fois activés, ouvrent une véritable boîte de Pandore », prévient Kern Smith, vice-président chez Zimperium. « DoubleTrouble est alors capable de lire, copier, ou détourner tout ce qui transite par l’appareil ».

Des capacités de vol d’informations poussées à l’extrême

L’arsenal déployé par DoubleTrouble dépasse largement le cadre d’un keylogger traditionnel. Le malware peut notamment :

  • Capturer en direct ce qui s’affiche à l’écran, grâce à une technique reposant sur l’API MediaProjection d’Android ;
  • Enregistrer toutes les frappes clavier, qu’il s’agisse d’identifiants, de mots de passe ou de codes de validation à usage unique (OTP) ;
  • Dissimuler l’interface de certaines applications, pour la remplacer par des écrans factices qui piègent l’utilisateur (notamment pour les applis bancaires ou de crypto) ;
  • Contrôler certaines fonctions du téléphone à distance, en simulant des interactions ou en affichant des notifications frauduleuses.

Ces éléments permettent à l’attaquant de contourner des dispositifs de sécurité pourtant considérés comme robustes, notamment l’authentification à deux facteurs.

Un code volontairement illisible

Autre caractéristique relevée par les chercheurs : le code source de DoubleTrouble a été volontairement obfusqué. Ses méthodes, fonctions et classes portent des noms générés aléatoirement, comme « purpleClock » ou « plasticBridge », rendant l’analyse statique particulièrement ardue pour les antivirus classiques.

Ce mécanisme, combiné à un déploiement en deux étapes (l’application initiale puis le chargement discret du « payload » malveillant), permet à DoubleTrouble de passer sous les radars pendant un temps crucial.

Le retour d’une menace « mobile-first »

Si les PC restent souvent au cœur des préoccupations en matière de cybersécurité, les attaques mobiles connaissent une recrudescence significative. Les smartphones, véritables coffres-forts numériques, concentrent désormais messagerie, navigation, authentification et paiements.

Selon Zimperium, l’essor de DoubleTrouble s’inscrit dans une tendance plus large : les cybercriminels adoptent une stratégie « mobile-first », misant sur l’inattention des utilisateurs de smartphones, moins vigilants que sur ordinateur.

Des recommandations pour les utilisateurs Android

Pour se prémunir contre ce type d’attaque, les experts insistent sur quelques règles de bon sens numérique :

  • Ne jamais télécharger d’applications en dehors des boutiques officielles (Google Play, AppGallery, etc.) ;
  • Éviter les liens suspects partagés sur Discord, Telegram, ou tout autre canal de discussion ;
  • Vérifier les autorisations demandées par une application , tout accès aux services d’accessibilité ou à l’écran doit susciter la vigilance ;
  • Activer Play Protect, le système d’analyse en temps réel de Google ;
  • Installer une solution antivirus fiable, spécialement conçue pour les environnements mobiles.

Les entreprises, quant à elles, sont invitées à renforcer leurs politiques BYOD (Bring Your Own Device) et à former régulièrement leurs équipes aux risques mobiles, désormais aussi critiques que ceux des réseaux informatiques traditionnels.

Un signal d’alerte pour les plateformes sociales

La diffusion de DoubleTrouble via Discord soulève une question plus large : celle de la responsabilité des plateformes de communication dans la modération des contenus hébergés. Si Discord n’est pas directement impliqué, le fait que ses serveurs servent d’hébergement à des APK malveillants pose un défi en matière de régulation.

Il ne serait pas étonnant que, dans les mois à venir, des mesures soient réclamées pour renforcer la surveillance des fichiers partagés, à l’instar de ce que certains réseaux sociaux ont déjà mis en œuvre.

Récap :

  • DoubleTrouble est un malware Android de type bancaire particulièrement sophistiqué ;
  • Il se propage par le biais de fichiers APK hébergés sur Discord ;
  • Ses fonctions incluent keylogging, capture d’écran, overlay, prise de contrôle distant ;
  • Il utilise des noms de méthodes aléatoires pour dissuader l’analyse du code ;
  • La vigilance des utilisateurs reste le meilleur rempart face à cette menace en pleine expansion.
Vous pourriez être intéressés par

Moi c'est Nawfal. Un vieux Geek dans l'ADN. Ici je partage mes connaissances et mes pensées avec mes chers Compatriotes Geeks, dans un espace de détente et de bonne humeur

Vous pouvez aussi aimer...

Comment Faire tourner Android sur PC

Google lance la recherche manuscrite sur Android et...

Quelle est la meilleure tablette pour jouer?

Traduire le texte des images avec Google Translate...

Android : Oracle accepte 0 dollar de dommages...

La Nexus 7 By Google

Avoir plus de vies sur Candy Crush gratuitement

Google Maps sur iPhone: 10 millions de téléchargements...

Google Analytics : enfin sur Android

Songify, Parlez, il chante

Laisser un Commentaire

Adblock Detecté

Nous vous seront très reconnaissants d'aider votre Blog préféré Kingofgeek.com en désactivant votre AdBlocker. Merci infiniment et Bisouuuux