Un nouveau malware bancaire Android nommé Octo est apparu dans la nature, avec des capacités d’accès à distance qui permettent aux opérateurs malveillants d’effectuer une fraude sur l’appareil.
Octo est un malware Android évolué basé sur ExoCompact, une variante de malware basée sur le cheval de Troie Exo qui a quitté l’espace de la cybercriminalité et dont le code source a été divulgué en 2018.
La nouvelle variante a été découverte par des chercheurs de ThreatFabric, qui ont observé plusieurs utilisateurs cherchant à l’acheter sur des forums darknet.
Capacités de fraude sur l’appareil
La nouvelle fonctionnalité importante d’Octo par rapport à ExoCompact est un module d’accès à distance avancé qui permet aux acteurs de la menace d’effectuer une fraude sur l’appareil (ODF) en contrôlant à distance l’appareil Android compromis.
L’accès à distance est fourni via un module de streaming d’écran en direct (mis à jour toutes les secondes) via MediaProjection d’Android et des actions à distance via le service d’accessibilité.
Octo utilise une superposition d’écran noir pour masquer les opérations à distance de la victime, règle la luminosité de l’écran à zéro et désactive toutes les notifications en activant le mode « sans interruption ».
En donnant l’impression que l’appareil est éteint, le logiciel malveillant peut effectuer diverses tâches à l’insu de la victime. Ces tâches incluent les pressions sur l’écran, les gestes, l’écriture de texte, la modification du presse-papiers, le collage de données et le défilement vers le haut et vers le bas.
Source : ThreatFabric
Outre le système d’accès à distance, Octo dispose également d’un puissant enregistreur de frappe qui peut surveiller et capturer toutes les actions des victimes sur les appareils Android infectés.
Cela inclut les codes PIN saisis, les sites Web ouverts, les clics et les éléments cliqués, les événements de changement de focus et les événements de changement de texte.
Enfin, Octo prend en charge une longue liste de commandes, la plus importante étant :
- Bloquer les notifications push des applications spécifiées
- Activer l’interception des SMS
- Désactiver le son et verrouiller temporairement l’écran de l’appareil
- Lancer une application spécifiée
- Démarrer/arrêter la session d’accès à distance
- Mettre à jour la liste des C2
- Ouvrir l’URL spécifiée
- Envoyer un SMS avec le texte spécifié à un numéro de téléphone spécifié
Campagnes et attribution
Octo est vendu sur des forums, tels que le forum de piratage XSS russophone, par un acteur malveillant utilisant l’alias « Architect » ou « goodluck ».
Il convient de noter en particulier que si la plupart des messages sur XSS sont en russe, presque tous les messages entre Octo et les abonnés potentiels ont été rédigés en anglais.
En raison des nombreuses similitudes avec ExoCompact, y compris le succès de la publication de Google Play, la fonction de désactivation de Google Protect et le système de protection contre l’ingénierie inverse, ThreatFabric pense qu’il y a de fortes chances que « Architect » soit le même auteur ou un nouveau propriétaire du code source d’ExoCompact.
ExoCompact dispose également d’un module d’accès à distance, bien que plus simple, fournit également des options de délai d’exécution des commandes et dispose d’un panneau d’administration similaire à celui d’Octo.
Source : ThreatFabric
« Ainsi, en gardant ces faits à l’esprit, nous concluons qu’ExobotCompact a été rebaptisé Octo Android banking Trojan et est loué par son propriétaire » Architect « , également connu sous le nom de » goodluck « . ThreatFabric suit cette variante sous le nom d’ExobotCompact.D « , conclut Threat Fabric dans leur rapport.
Les applications Google Play récentes qui ont infecté les appareils avec Octo incluent une application nommée « Fast Cleaner », qui a eu 50 000 installations jusqu’en février 2022, date à laquelle elle a été découverte et supprimée.
Source : ThreatFabric
D’autres campagnes Octo s’appuyaient sur des sites utilisant de faux avis de mise à jour du navigateur ou de faux avertissements de mise à jour de l’application Play Store.
Source : ThreatFabric
Certains opérateurs Octo ont réussi à infiltrer à nouveau le Play Store après la fin de l’opération Fast Cleaner, en utilisant une application nommée « Pocket Screencaster ».
La liste complète des applications Android connues contenant le malware Octo est répertoriée ci-dessous :
- Screencasteur de poche (com.moh.screen)
- Nettoyeur rapide 2021 (vizeeva.fast.cleaner)
- Play Store (com.restthe71)
- Postbank Security (com.carbuildz)
- Screencasteur de poche (com.cutthousandjs)
- BAWAG PSK Security (com.frontwonder2), et
- Installation de l’application Play Store (com.theseeye5)
Une nouvelle race dangereuse
Les chevaux de Troie dotés de modules d’accès à distance sont de plus en plus courants, rendant obsolètes les mesures de protection de compte robustes telles que les codes à deux facteurs, car l’acteur de la menace contrôle complètement l’appareil et ses comptes connectés.
Tout ce que l’utilisateur voit sur l’écran de son appareil devient accessible à ces variantes de logiciels malveillants. Ainsi, après l’infection, aucune information n’est en sécurité et aucune mesure de protection n’est efficace.
Cela dit, les utilisateurs doivent rester vigilants, limiter au minimum le nombre d’applications installées sur leurs smartphones et vérifier régulièrement que Play Protect est activé.