Un nouveau malware bancaire baptisé Klopatra vide les comptes en banque des utilisateurs Android. Plus de 3 000 appareils ont été compromis en Europe.
L'équipe de Cleafy a découvert fin août 2025 un cheval de Troie bancaire Android particulièrement velu. Avec une consonance antique, Klopatra n'en est pas moins ultramoderne avec des techniques d'évasion avancées avec un contrôle total des appareils infectés. Les pirates utilisent une fausse application IPTV nommée « Mobdro Pro IP TV + VPN » pour installer leur malware. Cette application promet l'accès gratuit à des chaînes de télévision premium. Les utilisateurs téléchargent volontiers ce type d'application depuis des sources non officielles. Une fois installé, le malware demande l'accès aux services d'accessibilité. Cette autorisation transforme un simple téléphone Android en distributeur automatique pour cybercriminels. Deux botnets actifs contrôlent actuellement près de 3 000 victimes européennes.
L'autorisation d'accessibilité donne les clés du coffre-fort aux pirates
Les services d'accessibilité Android ont été créés pour aider les personnes en situation de handicap. Klopatra détourne complètement cette fonctionnalité légitime. Le malware peut lire n'importe quel texte affiché à l'écran, y compris les soldes bancaires et les messages privés. Il capture chaque caractère tapé sur le clavier virtuel et agit comme un enregistreur de frappe invisible.
Le danger réel vient de là. Le logiciel malveillant navigue seul dans les applications, clique sur les boutons « Autoriser » ou « Transférer », saisit du texte et effectue des transactions frauduleuses de manière autonome. « Cette autorisation unique accorde au logiciel malveillant des pouvoirs presque illimités sur l'appareil », explique le rapport technique de Cleafy.
Les opérateurs privilégient les attaques nocturnes. Ils profitent que vous êtes dans les bras de Morphée et vérifient d'abord que l'appareil est en charge et que l'écran est éteint. Le malware réduit ensuite la luminosité à zéro et affiche un écran noir. La victime croit son téléphone éteint alors qu'un pirate vide ses comptes bancaires à distance. Les cybercriminels utilisent un mode VNC caché pour contrôler l'appareil sans laisser la moindre trace visible.
Une architecture technique inhabituelle pour un malware Android
Klopatra sort du lot parmi les chevaux de Troie bancaires classiques. Les développeurs ont intégré Virbox, une solution commerciale chinoise de protection logicielle. Cette technologie est courante pour les malwares Windows mais rare sur mobile. « Ce choix témoigne d'une escalade significative, indiquant que les opérateurs investissent des ressources financières pour protéger leurs actifs malveillants », note l'analyse de Cleafy.
Le malware déplace la majorité de ses fonctions du code Java traditionnel vers des bibliothèques natives en C/C++. Cette architecture rend la détection beaucoup plus difficile pour les antivirus classiques. Les chercheurs ont identifié près de 40 versions différentes depuis mars 2025, ce qui démontre un cycle de développement rapide et agile.
Le logiciel malveillant conserve une liste d'applications bancaires ciblées. Quand un utilisateur ouvre sa banque en ligne, Klopatra affiche une fausse page de connexion par-dessus l'application légitime. Les identifiants saisis sont immédiatement envoyés aux serveurs de commande des pirates. Pendant ce temps, le malware collecte aussi la liste complète des applications installées, le niveau de batterie et le contenu du presse-papiers.
L'origine du groupe criminel ne fait guère de doute. Les opérateurs ont laissé des traces révélatrices dans leur propre code. Les noms de fonctions et variables sont rédigés en turc. L'infrastructure de contrôle utilise également des termes turcs comme « etiket » (étiquette), « favori_durumu » (statut favori) ou « bot_notu » (note du bot). Ce dernier champ contient des annotations manuscrites des pirates, dont une particulièrement explicite : « 7k atılan piç şifre z ». Cette phrase désigne une tentative de vol de 7 000 euros et le schéma de déverrouillage en forme de Z de l'appareil visé.
Les serveurs de commande identifiés hébergent deux campagnes principales. Le serveur adsservices[.]uk gère près de 1 000 infections en Espagne. Son jumeau adsservice2[.]org contrôle environ 450 appareils en Italie. Un troisième serveur de test héberge seulement neuf victimes réparties entre la Géorgie, le Koweït et le Qatar. Les pirates utilisent Cloudflare pour masquer leurs serveurs, mais des erreurs de configuration ont révélé leur véritable emplacement en Lituanie et en Allemagne.
Conseils pour se protéger
Si vous recevez une notification vous demandant d'accorder l'accès aux services d'accessibilité, prenez le temps de réfléchir. Cette autorisation donne un contrôle total sur votre appareil. Aucune application IPTV ou de streaming légitime n'en a besoin pour fonctionner. Téléchargez uniquement des applications depuis le Google Play Store et vérifiez toujours les avis et le nombre d'installations avant de cliquer sur « Installer ».
Méfiez-vous des applications qui promettent du contenu premium gratuit, comme des chaînes de télévision payantes ou des films récents. Ces leurres sont conçus pour contourner votre vigilance. Si une application déjà installée vous redirige vers les paramètres système pour activer une fonction particulière, questionnez-vous sur sa légitimité.
Utilisez un antivirus capable de détecter les comportements suspects et activez Google Play Protect dans les paramètres de votre smartphone. En cas de doute, consultez les forums spécialisés ou contactez directement l'éditeur officiel de l'application que vous cherchez à installer. Une minute de vérification peut vous éviter des mois de tracas bancaires.
Source : Cleafy
