Il se présente comme une étape de recrutement, puis se volatilise du tiroir Android. Derrière ce petit numéro, RecruitRat continue pourtant de fonctionner, le temps de repérer les applications bancaires et crypto installées sur le téléphone, puis de siphonner les identifiants associés.
À peine installée, déjà disparue. Sur Android, on penserait volontiers à un téléchargement d’appli raté. Mauvaise pioche. Dans un rapport consacré à plusieurs campagnes actives de chevaux de Troie bancaires, Zimperium vient de lever le voile sur RecruitRat, un malware capable de masquer sa présence sitôt installé. Un tour de passe-passe qui peut aller jusqu’à rendre son icône invisible dans le tiroir d’applications, histoire de grappiller le temps nécessaire pour profiler l’appareil, repérer les applications sensibles, afficher de faux écrans bancaires par-dessus les interfaces légitimes et capter les identifiants.
Une icône absente, mais un malware parfaitement fonctionnel
D’après les éléments documentés par Zimperium, la diffusion de RecruitRat passe par de faux parcours de recrutement. Les victimes sont redirigées vers des sites frauduleux où l’installation de l’APK est présentée comme une étape attendue de la procédure, ce qui permet aux opérateurs d’introduire le malware sous couvert d’une démarche professionnelle.
Une fois installé, RecruitRat s’emploie à se faire oublier. Le malware remplace son icône par une image transparente, non pour disparaître du téléphone, mais pour devenir impossible à repérer dans le tiroir d’applications, et ainsi limiter les chances d’être identifié, puis supprimé trop vite.
La suite, vous la devinez. Cette discrétion sert la phase de ciblage, puisque le trojan en profite pour sonder l’appareil compromis en vue de repérer les applications bancaires et crypto installées. La liste est ensuite transmise à son serveur de commande, qui renvoie une archive de faux écrans HTML adaptés aux services détectés. Stockées localement, ces pages sont affichées en plein écran lorsque la victime ouvre l’une des applications visées, par-dessus l’interface légitime, afin de siphonner les identifiants au moment même où elle pense se connecter à son compte.
Plus de 700 applications bancaires ciblées
D’après les données publiées par Zimperium, RecruitRat viserait plus de 700 applications bancaires et crypto, et serait actif dans plusieurs régions du monde, principalement aux États-Unis, mais aussi en Europe, y compris en France.
Par conséquent, soyez prudents lorsque vous êtes amenés à télécharger des fichiers APK. Le mieux reste encore de s’en abstenir et de passer par le Google Play Store, mais dans le cas où vous ne pourriez pas éviter une installation hors boutique officielle, prenez le temps de vérifier l’origine du fichier, le nom de domaine utilisé, la réputation du service et les autorisations réclamées au lancement. Refusez aussi toute consigne vous demandant de désactiver Play Protect, ou de contourner les alertes affichées par Android pour poursuivre l’installation.
En cas de doute après coup, ne vous fiez pas seulement au tiroir d’applications. Ouvrez les paramètres Android, consultez la liste complète des applications installées, contrôlez les autorisations accordées et supprimez toute appli suspecte. Si la désinstallation bloque, redémarrez le téléphone en mode sans échec (appui long sur le bouton de redémarrage), puis tentez de supprimer l’application depuis les paramètres. Vous pouvez aussi révoquer ses droits d’accessibilité, désactiver ses autorisations d’affichage par-dessus les autres apps, lancer une analyse antivirus et, si nécessaire, changer depuis un autre appareil les mots de passe des services sensibles utilisés sur le smartphone.
Un cheval de Troie bancaire (banking trojan) est un malware conçu pour viser des services financiers (banques, wallets crypto, échanges) plutôt que d’endommager le téléphone. Il cherche d’abord à identifier quelles applis sensibles sont présentes, puis déclenche des techniques de vol au moment opportun. La méthode courante est l’overlay : une fausse interface s’affiche par-dessus l’application légitime pour récupérer identifiant, mot de passe et parfois code de validation. Les données saisies partent ensuite vers l’infrastructure des attaquants, qui peut aussi adapter l’attaque selon la banque détectée. Ce type de menace mise sur la crédibilité visuelle et le timing, plus que sur une “faille” technique spectaculaire.
À quoi sert un serveur de commande et contrôle (C2) dans une infection mobile ?Un serveur de commande et contrôle (C2) est le point de contact distant qui permet au malware de recevoir des instructions et d’envoyer des informations volées. Concrètement, le téléphone infecté peut transmettre un inventaire (modèle, version Android, liste d’apps) pour que l’attaquant ajuste la suite de l’attaque. Le C2 peut ensuite renvoyer des contenus spécifiques, comme des pages HTML d’hameçonnage adaptées à la banque ou au service crypto ciblé. Cette architecture rend la campagne plus flexible : les attaquants peuvent mettre à jour les “modules” sans réinstaller l’appli. Couper ou perturber cette communication limite souvent les capacités du malware, sans forcément le supprimer.
Pourquoi installer un APK hors Google Play augmente le risque, et quel rôle joue Play Protect ?Un APK est le fichier d’installation d’une application Android ; hors Google Play, il échappe aux contrôles de distribution et au signalement centralisé des versions malveillantes. Le risque augmente surtout quand l’installation est poussée via ingénierie sociale (faux recrutement, fausse procédure, urgence), car l’utilisateur valide manuellement des étapes que le store éviterait. Play Protect est le mécanisme de protection de Google qui analyse les applis (y compris après installation) et peut alerter ou bloquer certains comportements connus. Demander de désactiver Play Protect ou d’ignorer des avertissements est un indicateur classique d’abus. Même avec Play Protect actif, vérifier la source, le domaine, la signature et les permissions reste essentiel pour les installations “sideloadées”.
