Une nouvelle menace consiste à tester le domaine de la cybersécurité sur le monde Android: il s’appelle Raton et c’est un malware découvert pour la première fois en juillet 2025, capable de voler des références bancaires de manière très sophistiquée.
Ce qui rend ce Troie particulièrement insidieux, c’est en fait sa capacité à agir de manière indépendante sur les comptes actuels des victimes, à commencer les transferts d’argent sans aucune intervention humaine par les cybercriminels. Les chercheurs de Menacela société de cybersécurité qui a identifié cette menace, voulait approfondir son fonctionnement, découvrant quelque chose de très dangereux pour les utilisateurs touchés.
Comment fonctionne Raton
L’objectif principal de Raton était les applications bancaires tchèques – avec une attention particulière à l’application George česko – mais ses objectifs se sont également étendus aux portefeuilles de crypto-monnaie les plus populaires tels que Metamask, Trust Wallet, Blockchain.com et Phantom. Le choix de ces plateformes n’était certainement pas accidentel: les crypto-monnaies sont en fait un objectif particulièrement attrayant pour les cybercriminels, étant donné que les transactions sont irréversibles et souvent difficiles à retracer.
Quant au fonctionnement du Troie, une fois installé sur les smartphones des victimes, Raton affiche une capacité d’automatisation très avancée, avec le malware qui est capable de naviguer indépendamment à travers les interfaces des applications bancaires, simulant l’interaction humaine avec une haute précision. Raton convainc donc l’application d’avoir inséré le code PIN nécessaire et qu’il a fait toutes les étapes utiles pour terminer les transferts non autorisés avec le naturel d’un utilisateur expert.
Cependant, Raton n’est pas satisfait d’être un simple Troie bancaire. En fait, les développeurs ont également intégré des fonctionnalités de ransomware, démontrant une polyvalence qui aggrave son impact sur la sécurité. Le malware peut en fait afficher les faux messages qui simulent le blocage de l’appareil, accusant l’utilisateur d’avoir visualisé le contenu illégal et de demander le paiement de 200 $ en crypto-monnaie pour déverrouiller le smartphone, avec une stratégie de chantage qui n’est certainement pas nouveau dans le secteur des logiciels malveillants, mais qui à Raton est particulièrement convaincant et professionnel.
Comment étaler Raton
La diffusion de Raton se déroule par le biais de canaux qui exploitent les faiblesses comportementales des utilisateurs d’Android: les cybercriminels ont par exemple mis en place les fausses applications qui prétendent être des versions « orientées adultes » des applications populaires, en mettant particulièrement l’accent sur les versions présumées pour les adultes de Tiktok, appelé « Tiktok 18+ ». Les magasins malais contournent les protections Google Play Store à l’aide de techniques d’élevés de touche, installant des applications via des fichiers APK téléchargés à partir de sources à l’extérieur du Play Store officiel.
Quant à la diffusion territoriale, Raton concentre actuellement ses activités principalement en République tchèque et en Slovaquie, démontrant une connaissance approfondie des systèmes bancaires locaux par les développeurs et, probablement, la volonté de tester le malware sur un marché limité avant une éventuelle expansion mondiale.
Cependant, les experts en cybersécurité avertissent que l’évolution technique montrée par Raton la rend facilement adaptable à d’autres marchés, car la structure modulaire et la qualité du code suggèrent que l’expansion géographique ne pourrait être qu’une question de temps et d’opportunités.
Comment se défendre contre Raton
La défense contre les menaces telles que Raton suit des règles bien consolidées contre les logiciels malveillants. La première règle à suivre est d’éviter le téléchargement des fichiers APK à partir de sources non officielles et suspectes, en particulier lorsque celles-ci sont annoncées via des sites Web de réputation douteux ou des liens suspects reçus via des messages malheureux. L’utilisation exclusive de magasins officiels tels que le Google Play Store est donc la première ligne de défense, bien que ce ne soit pas une garantie absolue de sécurité. Pour les utilisateurs qui possèdent des portefeuilles de crypto-monnaie sur leurs appareils Android, les experts conseillent de considérer l’utilisation d’un appareil dédié exclusivement à cet effet, séparé de celui utilisé pour la navigation quotidienne et le téléchargement d’applications.
Il est également toujours conseillé de mettre en œuvre deux facteurs sur toutes les applications bancaires et financières, ainsi qu’à effectuer un contrôle fréquent et régulier des extraits et transactions de compte.
