Un cheval de Troie bancaire mobile populaire a été mis à jour et renommé pour être vendu sur les forums du dark web, ont découvert des chercheurs en cybersécurité.
Les experts de ThreatFabric ont récemment identifié la souche de logiciels malveillants Android très dangereuse, connue sous le nom d’Octo, qui permet à l’auteur de la menace d’exploiter le terminal compromis. (s’ouvre dans un nouvel onglet) à partir d’un emplacement distant.
L’attaquant utilise le service d’accessibilité pour effectuer les actions à distance et un module de diffusion en direct (utilisant Android MediaProjection) pour afficher l’affichage.
ExoCompact est de retour
En recouvrant l’écran de noir, l’attaquant peut faire croire à l’utilisateur que l’appareil est éteint. Le logiciel malveillant peut également régler la luminosité de l’écran sur zéro et désactiver toutes les notifications.
Une fois que l’appareil est prêt, l’attaquant peut faire toutes sortes de choses, comme écrire des messages texte, modifier le presse-papiers, coller des données, etc. Il fonctionne également comme un enregistreur de frappe, permettant le vol de mots de passe et de détails de carte de crédit.
Après avoir obtenu l’échantillon, les chercheurs ont établi qu’Octo est essentiellement une version améliorée et évoluée d’un ancien malware Android appelé ExoCompact.
ExoCompact est un cheval de Troie dont l’auteur aurait démissionné en 2018 et dont le code source a été divulgué en ligne. Cependant, les chercheurs affirment maintenant que c’est le même acteur menaçant qui propose désormais Octo – un individu connu sous le nom d' »Architecte » ou « goodluck ».
Ils ont réussi à retracer le malware jusqu’à sept applications trouvées dans le Play Store :
- Screencasteur de poche (com.moh.screen)
- Nettoyeur rapide 2021 (vizeeva.fast.cleaner)
- Play Store (com.restthe71)
- Postbank Security (com.carbuildz)
- Screencasteur de poche (com.cutthousandjs)
- Sécurité BAWAG PSK (com.frontwonder2)
- Installation de l’application Play Store (com.theseeye5)
Toutes les applications ont maintenant été supprimées du référentiel d’applications de Google, mais au moins 50 000 appareils ont été compromis.
Via BleepingComputer (s’ouvre dans un nouvel onglet)