Un certain nombre d’applications Android malveillantes qui ont \u00e9t\u00e9 install\u00e9es plus de 50 000 fois \u00e0 partir du Google Play Store officiel sont utilis\u00e9es pour cibler des banques et d’autres entit\u00e9s financi\u00e8res.<\/p>\n
Le cheval de Troie de la banque de location, surnomm\u00e9 Octo<\/strong>serait une nouvelle image de marque d’un autre malware Android appel\u00e9 ExobotCompact, qui, \u00e0 son tour, est un remplacement “l\u00e9ger” de son pr\u00e9d\u00e9cesseur Exobot, la soci\u00e9t\u00e9 n\u00e9erlandaise de s\u00e9curit\u00e9 mobile ThreatFabric. mentionn\u00e9<\/a> dans un rapport partag\u00e9 avec The Hacker News.<\/p>\n On dit \u00e9galement qu’Exobot a ouvert la voie \u00e0 un descendant distinct appel\u00e9 Coper, qui \u00e9tait initialement d\u00e9couvert<\/a> ciblant les utilisateurs colombiens vers juillet 2021, avec de nouvelles infections ciblant les utilisateurs d’Android dans diff\u00e9rents pays europ\u00e9ens.<\/p>\n “Les applications de logiciels malveillants Coper sont de conception modulaire et incluent une m\u00e9thode d’infection en plusieurs \u00e9tapes et de nombreuses tactiques d\u00e9fensives pour survivre aux tentatives de suppression”, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Cyble. c’est not\u00e9<\/a> dans une analyse du malware le mois dernier.<\/p>\n Comme les autres chevaux de Troie bancaires Android, les applications malveillantes ne sont rien de plus que des droppers, dont la fonction principale est de d\u00e9ployer la charge utile malveillante qui y est int\u00e9gr\u00e9e. La liste des compte-gouttes Octo et Coper utilis\u00e9s par plusieurs acteurs de la menace est ci-dessous –<\/p>\n Ces applications, qui se pr\u00e9sentent comme un installateur d’applications Play Store, un enregistrement d’\u00e9cran et des applications financi\u00e8res, sont “propuls\u00e9es par des syst\u00e8mes de distribution inventifs”, les distribuant via le Google Play Store et via des pages de destination frauduleuses qui alertent pr\u00e9tendument les utilisateurs pour qu’ils t\u00e9l\u00e9chargent une mise \u00e0 jour du navigateur.<\/p>\n Les droppers, une fois install\u00e9s, agissent comme un conduit pour lancer les chevaux de Troie, mais pas avant de demander aux utilisateurs d’activer les services d’accessibilit\u00e9 qui lui permettent un large \u00e9ventail de capacit\u00e9s pour exfiltrer des informations sensibles des t\u00e9l\u00e9phones compromis.<\/p>\n Octo, la version r\u00e9vis\u00e9e d’ExobotCompact, est \u00e9galement \u00e9quip\u00e9e pour effectuer une fraude sur l’appareil en prenant le contr\u00f4le \u00e0 distance des appareils en profitant des autorisations d’accessibilit\u00e9 ainsi que d’Android. API MediaProjection<\/a> pour capturer le contenu de l’\u00e9cran en temps r\u00e9el.<\/p>\n L’objectif ultime, a d\u00e9clar\u00e9 ThreatFabric, est de d\u00e9clencher “l’initiation automatique des transactions frauduleuses et son autorisation sans efforts manuels de la part de l’op\u00e9rateur, permettant ainsi la fraude \u00e0 une \u00e9chelle beaucoup plus grande”.<\/p>\n Les autres fonctionnalit\u00e9s notables d’Octo incluent l’enregistrement des frappes au clavier, la r\u00e9alisation d’attaques par superposition sur les applications bancaires pour capturer les informations d’identification, la collecte des informations de contact et les mesures de persistance pour emp\u00eacher la d\u00e9sinstallation et \u00e9chapper aux moteurs antivirus.<\/p>\n “Le changement de marque en Octo efface les liens pr\u00e9c\u00e9dents avec la fuite du code source d’Exobot, invitant plusieurs acteurs de la menace \u00e0 la recherche d’une opportunit\u00e9 de louer un cheval de Troie pr\u00e9tendument nouveau et original”, a not\u00e9 ThreatFabric.<\/p>\n “Ses capacit\u00e9s mettent en danger non seulement les applications explicitement cibl\u00e9es qui sont cibl\u00e9es par une attaque par superposition, mais toute application install\u00e9e sur l’appareil infect\u00e9, car ExobotCompact\/Octo est capable de lire le contenu de n’importe quelle application affich\u00e9e \u00e0 l’\u00e9cran et de fournir \u00e0 l’acteur suffisamment d’informations pour interagir \u00e0 distance avec lui et effectuer une fraude sur l’appareil (ODF).”<\/p>\n Les d\u00e9couvertes suivent de pr\u00e8s la d\u00e9couverte d’un robot de banque Android distinct nomm\u00e9 Parrain<\/a> – partageant des chevauchements avec les chevaux de Troie bancaires Cereberus et Medusa – qui a \u00e9t\u00e9 observ\u00e9 ciblant les utilisateurs bancaires en Europe sous le couvert de l’application Param\u00e8tres par d\u00e9faut pour transf\u00e9rer des fonds et voler des SMS, entre autres.<\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/Nouveau-Wiper-Malware-ciblant-lUkraine-dans-le-cadre-de-loperation.png\")
<\/a><\/div>\n\n
![\"Google](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1649421520_326_Le-nouveau-cheval-de-Troie-Octo-Banking-se-propage-via.jpg\" "\\"Google")
<\/div>\n<\/a><\/div>\n