Des chercheurs en cybersécurité ont découvert une nouvelle version d’un cheval de Troie bancaire Android appelé Octo, doté de capacités améliorées pour effectuer une prise de contrôle d’appareil (DTO) et effectuer des transactions frauduleuses.
La nouvelle version a été nommée Octo2 L’auteur du logiciel malveillant a déclaré la société de sécurité néerlandaise ThreatFabric dans un rapport partagé avec The Hacker News, ajoutant que des campagnes distribuant le logiciel malveillant ont été repérées dans des pays européens comme l’Italie, la Pologne, la Moldavie et la Hongrie.
« Les développeurs de logiciels malveillants ont pris des mesures pour augmenter la stabilité des capacités d’actions à distance nécessaires aux attaques de prise de contrôle d’appareils », a déclaré la société. dit.
Certaines des applications malveillantes contenant Octo2 sont répertoriées ci-dessous :
- Entreprise européenne (com.xsusb_restore3)
- Google Chrome (com.havirtual06numberresources)
- NordVPN (com.handedfastee5)
Octo a été signalé pour la première fois par l’entreprise au début de l’année 2022, le décrivant comme l’œuvre d’un acteur malveillant qui utilise les pseudonymes en ligne Architect et goodluck. Il a été évalué comme un « descendant direct » du malware Exobot détecté à l’origine en 2016, qui a également engendré une autre variante baptisée Coper en 2021.
« Basé sur le code source du cheval de Troie bancaire Marcher, Exobot a été maintenu jusqu’en 2018 en ciblant les institutions financières avec une variété de campagnes axées sur la Turquie, la France et l’Allemagne ainsi que sur l’Australie, la Thaïlande et le Japon », notait ThreatFabric à l’époque.
« Par la suite, une version « allégée » a été introduite, nommée ExobotCompact par son auteur, l’acteur malveillant connu sous le nom d’« android » sur les forums du dark web. »
L’émergence d’Octo2 aurait été principalement motivée par la fuite du code source d’Octo plus tôt cette année, ce qui a conduit d’autres acteurs malveillants à générer plusieurs variantes du malware.
Un autre développement majeur est la transition d’Octo vers une opération de malware en tant que service (MaaS), selon Team Cymru, permettant au développeur de monétiser le malware en le proposant aux cybercriminels qui cherchent à mener des opérations de vol d’informations.
« Lors de la promotion de la mise à jour, le propriétaire d’Octo a annoncé qu’Octo2 serait disponible pour les utilisateurs d’Octo1 au même prix avec un accès anticipé », a déclaré ThreatFabric. « Nous pouvons nous attendre à ce que les acteurs qui exploitaient Octo1 passent à Octo2, l’introduisant ainsi dans le paysage mondial des menaces. »
L’une des améliorations significatives d’Octo2 est l’introduction d’un algorithme de génération de domaine (DGA) pour créer le nom du serveur de commande et de contrôle (C2), ainsi que l’amélioration de sa stabilité globale et de ses techniques d’anti-analyse.
L’utilisation d’un système C2 basé sur DGA présente un avantage inhérent dans la mesure où il permet à l’acteur de la menace de passer facilement à de nouveaux serveurs C2, rendant les listes de blocage de noms de domaine inefficaces et améliorant la résilience contre les tentatives de retrait potentielles.
Les applications Android malveillantes qui distribuent le malware sont créées à l’aide d’un service de liaison APK connu appelé Zombinder, qui permet de trojaniser des applications légitimes de manière à ce qu’elles récupèrent le véritable malware (dans ce cas, Octo2) sous le couvert de l’installation d’un « plugin nécessaire ».
Il n’existe actuellement aucune preuve suggérant qu’Octo2 soit propagé via le Google Play Store, ce qui indique que les utilisateurs les téléchargent probablement à partir de sources non fiables ou sont amenés à les installer via l’ingénierie sociale.
« Le code source du malware Octo original ayant déjà été divulgué et étant facilement accessible à divers acteurs de la menace, Octo2 s’appuie sur cette base avec des capacités d’accès à distance encore plus robustes et des techniques d’obfuscation sophistiquées », a déclaré ThreatFabric.
« La capacité de cette variante à réaliser des fraudes invisibles sur l’appareil et à intercepter des données sensibles, associée à la facilité avec laquelle elle peut être personnalisée par différents acteurs de la menace, augmente les enjeux pour les utilisateurs de services bancaires mobiles à l’échelle mondiale. »