Selon ThreatFabric (blog de recherche), des chercheurs ont identifié « Datzbro », un nouveau malware Android de type RAT/banking trojan opéré par des développeurs sinophones et diffusé par des campagnes d’ingénierie sociale sophistiquées visant des seniors dans des groupes Facebook liés aux voyages et activités sociales.
Le malware combine des fonctions de prise de contrôle à distance et de cheval de Troie bancaire pour la fraude financière : abus des Services d’accessibilité Android, keylogging, vol d’identifiants, et attaques par superposition. Les opérateurs peuvent diffuser l’écran, simuler des gestes et utiliser un mode de contrôle « schématique » qui reconstruit l’interface à partir des événements d’accessibilité, tout en masquant les actions malveillantes via des superpositions noires à transparence ajustable. 🐛📱
La cible fonctionnelle est banques, paiements et applications crypto, grâce à des filtres d’événements d’accessibilité détectant des mots-clés comme « bank », « pay », « wallet », « password » et « verification code » en anglais et chinois. Datzbro gère aussi SMS, fichiers, contacts, enregistrements audio/vidéo et prise de vue caméra.
La distribution passe par de faux sites imitant Google Play pour tromper les victimes, avec parfois l’usage du dropper Zombinder afin de contourner les restrictions d’Android 13+. Des applications de C2 desktop en chinois ont fuité, rendant l’outil librement accessible à d’autres cybercriminels et augmentant son impact potentiel. Les campagnes ont visé des utilisateurs en Australie, Singapour, Malaisie, Canada, Afrique du Sud et Royaume‑Uni. 💳🪪
TTPs observés:
- Abus des Services d’accessibilité Android pour le contrôle à distance et la reconstruction d’écrans
- Attaques par superposition (black overlay) avec transparence configurable
- Keylogging et exfiltration de credentials liés à banque/paiement/crypto
- Gestion SMS, accès fichiers/contacts, enregistrement audio/vidéo, capture caméra
- Hameçonnage/ingénierie sociale via groupes Facebook (faux téléchargements Google Play)
- Dropper Zombinder pour contourner les restrictions Android 13+
- C2 desktop en chinois; indices de développeurs sinophones; fuites d’outils C2
Conclusion: analyse de menace visant à documenter un nouveau RAT bancaire mobile et ses chaînes d’infection, capacités, cibles et zones d’activité.
🧠 TTPs et IOCs détectés
TTPs
Abus des Services d’accessibilité Android, Attaques par superposition, Keylogging, Exfiltration de credentials, Gestion SMS, Accès fichiers/contacts, Enregistrement audio/vidéo, Capture caméra, Hameçonnage/ingénierie sociale via groupes Facebook, Utilisation de dropper Zombinder, C2 desktop en chinois
IOCs
Aucun IOC spécifique (hash, domaine, IP) n’est mentionné dans l’analyse fournie.
🔗 Source originale : https://www.threatfabric.com/blogs/datzbro-rat-hiding-behind-senior-travel-scams