La Direction générale de la sécurité des systèmes d'information (DGSSI), dépendant de l'Administration de la défense nationale marocaine, a émis une note de sécurité d'une sévérité exceptionnelle concernant l'émergence et la dissémination d'un logiciel malveillant désigné sous l'appellation «BTMOB RAT» Ce cheval de Troie d'accès à distance visant les dispositifs fonctionnant sous Android, associe ruse technique et dissimulation comportementale afin de maintenir un contrôle occulte et durable sur les appareils compromis. Un code malveillant polymorphe et persistant Repéré pour la première fois en février 2025, le «BTMOB RAT» s'insinue principalement par le biais de faux sites de connexion (phishing) et d'applications frelatées disponibles sur des plateformes officielles telles que le Google Play Store. Sa singularité réside dans le détournement méthodique des services d'accessibilité d'Android, lesquels, conçus à l'origine pour faciliter l'usage des téléphones aux personnes en situation de handicap, sont ici dévoyés à des fins d'intrusion. Grâce à ces permissions obtenues en apparence légitimement, le logiciel malveillant contourne les systèmes de défense et s'enracine dans les couches profondes du terminal. Il collecte à l'insu de l'utilisateur des données confidentielles telles que les identifiants de connexion, les messages personnels, les coordonnées bancaires, ou toute information affichée à l'écran. Le «BTMOB RAT» surveille également le presse-papiers, ce réservoir transitoire où peuvent transiter des mots de passe ou des informations sensibles. De surcroît, ce logiciel espion se distingue par sa capacité à opérer en arrière-plan sans éveiller la moindre alerte. Il observe le comportement des applications réputées fiables pour calquer ses propres actions et ainsi éviter toute détection par les antivirus usuels. Une prolifération facilitée par le modèle MaaS La DGSSI souligne que le «BTMOB RAT» s'insère dans une architecture de type Malware-as-a-Service (MaaS), permettant à divers acteurs malveillants de le louer ou de l'acquérir afin de mener leurs propres campagnes illicites. Cette mutualisation du danger, par la mise à disposition d'un code malveillant clef en main, rend la menace à la fois protéiforme et difficilement traçable. Face à ce péril, le Centre de veille, de détection et de réaction aux attaques informatiques (maCERT) recommande l'intégration immédiate des indicateurs de compromission (IOCs) aux mécanismes de surveillance numérique. Ces indicateurs comprennent notamment les empreintes cryptographiques suivantes : – b65aa939027363fb64781e51bf0e97add788db1621dd7ade048a8afd2523417b – 8b292974edd0f6c48c0ebcf4981235c5d375793b716c4d5aeb3af19e77eee76e – 2b307f11ae418931674156425c47ff1c0645fb0b160290cd358599708ff62668 ainsi que les adresses IP suspectes suivantes : 206.206.125.203, 64.233.166.84, 64.233.184.84, 66.102.1.84, 142.250.200.1, 157.240.221.16, 142.250.200.2, 216.58.201.97, 216.58.212.226, 172.217.169.33, 66.102.1.188. Le maCERT invite les entités publiques et privées à lui signaler toute manifestation d'activité suspecte en lien avec le « BTMOB RAT », à l'adresse : [email protected].
