Une nouvelle souche très sophistiquée de malware Android, identifiée sous le nom de « BankBot YNRK », a été découverte par les chercheurs en cybersécurité de Cyfirma. Cette variante se distingue des chevaux de Troie mobiles classiques par sa capacité à effectuer un profilage avancé des appareils et une interaction automatisée, transformant ainsi les téléphones compromis en outils silencieux de vol financier. Le logiciel malveillant est actuellement distribué via des applications malveillantes qui imitent des outils utilitaires légitimes, notamment de faux scanners d’identification numérique et une version contrefaite de Google News qui charge le site Web news.google.com pour apaiser les soupçons des utilisateurs.
Une fois installé, BankBot YNRK initie une « phase silencieuse » conçue pour échapper à la détection et garantir la persistance à long terme. Il coupe immédiatement les flux audio de l’appareil (les volumes de notification, de sonnerie et de médias sont réglés sur zéro), garantissant que la victime n’est pas au courant des alertes entrantes liées aux transactions non autorisées.
Simultanément, il profile l’environnement hôte, en vérifiant les indicateurs de l’émulateur (tels que les niveaux spécifiques de batterie ou les empreintes digitales de construction) pour déterminer s’il est analysé par des chercheurs en sécurité. Si l’appareil réussit cette vérification, le malware abuse des services d’accessibilité d’Android, une fonctionnalité destinée à aider les utilisateurs handicapés, pour s’octroyer des privilèges administratifs. Cette étape critique permet au robot de lire le contenu de l’écran, de naviguer dans les menus et de simuler des saisies tactiles sans aucune interaction physique de la victime.
L’objectif principal du malware est le vol d’identifiants bancaires et d’actifs en crypto-monnaie. Il communique avec un serveur de commande et de contrôle (C2) pour récupérer une liste cible de 62 applications financières, se concentrant spécifiquement sur les principales institutions bancaires du Vietnam, de Malaisie, d’Indonésie et d’Inde, ainsi que sur les portefeuilles mondiaux de crypto-monnaie comme MetaMask et Exodus. La particularité de cette variante est sa capacité à extraire les métadonnées de l’interface utilisateur (UI), telles que le texte, la position des boutons et les identifiants d’affichage, pour reconstruire un « squelette » de l’application bancaire ciblée.
Cela permet aux attaquants d’automatiser des séquences complexes de connexion et de transfert en arrière-plan alors que l’écran de la victime semble inactif. En s’établissant en tant qu’administrateur de périphériques et en planifiant des tâches récurrentes en arrière-plan, BankBot YNRK garantit qu’il se relance automatiquement même après un redémarrage du système, ce qui rend la suppression exceptionnellement difficile pour l’utilisateur moyen.
