Ce n’est plus une rumeur,… des malwares sophistiqués ciblent activement les smartphones Android, vidant des comptes bancaires. Adel Ejjamai, expert en cybersécurité, décrypte pour nous le mode opératoire de ces pirates.
– Non, il ne s’agit pas d’une rumeur. Depuis quelques mois, des malwares Android comme BTMOB RAT, PlayPraetor et le récent DroidLock (découvert par Zimperium zLabs) ont été identifiés par la DGSSI Maroc et des chercheurs internationaux comme étant en campagne active contre le Maroc, avec des victimes locales dans le secteur bancaire rapportant vol d’identifiants, changements de PIN forcés, puis dépossession d’argent.
– Quelle est l’ampleur des préjudices financiers constatés lors des témoignages que vous avez reçus ?
– Les victimes en témoignent et l’on en trouve des exemples dans les médias : des campagnes de phishing ayant pour effet de perdre des milliers puis des millions de dirhams à des clients de banques marocaines. À l’échelle d’une industrie, le secteur financier au Maroc paye une rançon moyenne de 5,9M $ US (soit environ 56M MAD) par incident, sans distinction d’un malware ou un autre mais avec une tendance à la hausse des attaques (21M de tentatives sur les 7 premiers mois de 2025), DroidLock aggravant cette situation par sa capacité à « bricker » complètement les appareils.
– Ce malware cible-t-il spécifiquement les applications mobiles des banques marocaines ou est-ce un virus présent à l’échelle internationale ?
– Ces malwares ne visent pas spécialement les applications de banques du Maroc mais sont présents dans plusieurs pays, avec une activation à la détection d’applications qu’ils considèrent comme des banques (ex : overlays sur des interfaces locales). BTMOB RAT et PlayPraetor sont fortement localisés au Maroc où le pays est leader en nombre d’infections de téléphones Android et de trojans bancaires sur le continent africain. Le nouveau ransomware DroidLock s’ajoute à cette menace avec ses tactiques d’abus des services d’accessibilité Android (changement de PIN, espionnage caméra/micro, overlays bancaires) qui sont universelles et particulièrement dangereuses pour le Maroc. Les enjeux actuels de la CAN 2025 que le Maroc organise sont un vecteur massif potentiel de téléchargements d’applications liées aux grosses compétitions de football de la CAF : du coup, les cyberattaquants peuvent se régaler à bâtir de faux APK « officiels » de billetterie ou d’application de suivi des matchs pour leurrer des amateurs du foot l’ayant pris dans les filets….
– Comment ce virus s’installe-t-il sur le téléphone ou l’ordinateur de la victime ?
– L’exécution de virements frauduleux découle directement de l’installation, par les usagers, d’applications compromises hébergeant des malwares sophistiqués. Le malware s’installe principalement via du phishing : sites Internet ou SMS proposant de « mettre à jour » une application ou de télécharger une version de l’application sur Google Play ou via sideloading, ce qui injecte un dropper qui va demander à télécharger l’application puis à autoriser l’activation des Services d’Accessibilité Android. Une fois l’autorisation obtenue, le malware va demander à l’utilisateur de lui donner les droits d’administrateur afin de pouvoir rester installé. Autrement dit, en téléchargeant des applications infectées par des virus, les clients ouvrent involontairement la porte aux cybercriminels, qui peuvent alors déclencher des virements à leur place.
– Les banques utilisent généralement la double authentification. Comment ce virus réussit-il à valider un virement instantané, sans validation par l’utilisateur ? Utilise-t-il l’accessibilité du système pour lire les codes reçus ?
– Oui, par le biais des Services d’Accessibilité, le malware va pouvoir faire de la capture d’écran, lire tout ce qui s’affiche sur celui-ci en temps réel (screen capture), récupérer tous les SMS/OTP qui arrivent et qui sont affichés dans les notifications, écouter tout ce qu’il se passe au clavier de l’appareil ou même tout ce qui est copié dans le presse- papier, et sur ce qu’on appelle des overlays, qui sont des applications qui vont se poser par-dessus n’importe quelle autre application pour l’enregistrer et récupérer tout ce qui entre dedans : par exemple des codes 2FA sans que l’utilisateur n’ait à interagir avec celui-ci. Tout cela dans le but de faire des virements autant que de fois qu’ils veulent mais à la place de la victime.
– Une fois le virement instantané effectué, est-il possible de récupérer les fonds ou de tracer la destination finale de l’argent ?
– Récupérer l’argent est quasiment impossible une fois qu’il a été transféré instantanément, car une grande partie du butin a été transféré sur de nombreux comptes mules ou converti en cryptomonnaie, rendant toute traque difficile ; il est possible de le traquer avec des banques et la police mais c’est compliqué s’il n’y a pas eu identification du paiement / blocage de celui-ci dans la seconde qui suit – c’est comme avec une carte bancaire, si le vol est découvert rapidement, on va bloquer la CB et les transactions qui auront lieu après, dans tous les autres cas, le voleur aura eu accès à une frange instantanée de l’argent disponible sur la carte jusqu’à qu’elle soit bloquée. (<20% c’est le taux moyen de récupération).
– Selon vous, que devraient mettre en place les institutions financières marocaines pour mieux protéger leurs clients face à cette nouvelle génération de virus ?
– Les établissements financiers au Maroc doivent pratiquer une authentification forte sur leurs applications (empreinte digitale, reconnaissance faciale), déployer des mécanismes de surveillance en temps réel des comportements sur les autorisations Accessibility, former en masse à la méfiance face au phishing.
