La Direction Générale de la Sécurité des Systèmes d'Information, a émis une alerte de niveau « critique » concernant un virus de type cheval de Troie appelé « BTMOB RAT » s'attaquant aux smartphones « Android » au Maroc. La DGSSI a indiqué dans son alerte que le « BTMOB RAT » est un cheval de Troie d'accès à distance (RAT) qui cible les appareils Android, découvert pour la première fois en février 2025. « Ce RAT est principalement distribué via des sites de phishing et des applications malveillantes disponibles sur le Google Play Store, indique la DGSSI, expliquant qu'une caractéristique clé de ce RAT est son exploitation des services d'accessibilité d'Android, qui lui permet d'obtenir des permissions légitimes et de contourner les mécanismes de sécurité du système. Le « BTMOB RAT » déploie des techniques avancées pour maximiser l'impact de son infection et maintenir un accès persistant à l'appareil compromis, affirme la même source, ajoutant que son principal objectif du est de collecter des informations sensibles sur l'appareil compromis. Le virus récupère des données de l'interface utilisateur de l'appareil (des informations sensibles sur l'écran, telles que des identifiants de connexion, des messages, ou des informations bancaires) et surveille le presse-papiers, permettant de capturer des données qui y sont temporairement stockées, telles que des mots de passe ou des informations de paiement. La DGSSI explique par ailleurs que le « BTMOB RAT » tire parti des services d'accessibilité d'Android pour obtenir des permissions légitimes et échapper aux mécanismes de détection des antivirus. « Ces services sont conçus pour aider les utilisateurs ayant des besoins spécifiques, mais lorsqu'ils sont mal utilisés par un malware, ils permettent de contourner les restrictions de sécurité », explique le Centre de Veille de Détection et de Réaction aux Attaques Informatiques « En utilisant ces services, le RAT peut accéder à des informations sensibles et exécuter des actions en arrière-plan sans être détecté. Il surveille également les comportements des applications légitimes pour éviter les alertes de sécurité, ce qui le rend plus difficile à détecter par les utilisateurs ou les solutions antivirus traditionnelles », conclut l'alerte.
