De temps en temps, nous apprenons à connaître des logiciels malveillants Android critiques qui ont évolué à partir d’un code malveillant connu ou existant depuis longtemps. Chercheurs en cybersécurité à Tissu de menace a récemment découvert une telle menace qui permet à un attaquant d’effectuer à distance des fraudes sur l’appareil. Appelé Octo, ce cheval de Troie d’accès à distance (RAT) a évolué à partir de la famille de logiciels malveillants Exobot.

Exobot est un malware bancaire Android qui est apparu pour la première fois en 2016. L’acteur menaçant derrière lui a maintenu ce code malveillant jusqu’en 2018, avec des signalements d’exploits provenant de divers coins du monde. L’auteur de ce logiciel malveillant a vendu le code source en 2018, mais il a rapidement été divulgué publiquement.

Pendant ce temps, Exobot a donné naissance à un nouveau RAT appelé ExobotCompact. Le malware bancaire Octo Android récemment découvert en est une version mise à jour, avec plusieurs nouvelles fonctionnalités.

Octo peut cacher ses activités de fraude sur l’appareil

Dans une fraude sur appareil ou ODF, l’attaquant accède à distance à l’appareil d’une victime et effectue des transactions ou d’autres activités à son insu. Étant donné que toute la fraude a lieu sur l’appareil lui-même, ODF est le type de fraude le plus dangereux et le plus discret, Tissu de menace Remarques.

Pour exécuter des actions à distance, l’attaquant doit diffuser l’écran de l’appareil de la victime. Le malware Octo utilise pour cela les services intégrés d’Android : MediaProjection pour le streaming d’écran (mis à jour toutes les secondes) et AccessibilityService pour effectuer des actions. Cela fait croire aux moteurs anti-fraude de l’appareil que le propriétaire opère sur l’appareil plutôt qu’un acteur malveillant à distance.

Une fois que l’attaquant a le contrôle de votre appareil, il utilise une superposition d’écran noir pour cacher ses actions à distance à la victime. La luminosité de l’écran est réglée sur zéro et le mode « ne pas déranger » est activé pour désactiver toutes les notifications. L’appareil semblera éteint pour la victime pendant que l’attaquant exécute à distance diverses actions. Le logiciel malveillant peut voir les données du presse-papiers, copier/couper et coller du texte, faire défiler et appuyer sur l’écran et effectuer des gestes.

L’enregistreur de frappe d’Octo permet également à l’attaquant de capturer tout ce que la victime tape sur l’appareil. Cela peut inclure des messages ou des informations confidentielles telles que le code PIN, le mot de passe et les informations d’identification bancaires. Si un acteur malveillant dispose de ces informations, vous pouvez deviner le montant des dommages que vous pourriez subir.

Le logiciel malveillant peut également effectuer des dizaines d’autres actions à distance. Il peut bloquer les notifications push d’applications spécifiques, activer l’interception de SMS ou envoyer des SMS à n’importe quel numéro de téléphone. Les autres fonctionnalités incluent l’ouverture d’un site Web spécifique, le démarrage/l’arrêt des sessions d’accès à distance, le lancement d’une application, la désactivation du son et le verrouillage temporaire de l’écran de l’appareil.

Plusieurs applications Android utilisaient le malware Octo

Selon le nouveau rapport de Tissu de menace, le malware bancaire Octo Android a été trouvé dans plusieurs applications Android. Ceux-ci incluent une application appelée « Fast Cleaner » avec plus de 50 000 installations depuis le Google Play Store. Suite à la découverte du logiciel malveillant, Google a supprimé l’application du Play Store en février 2022. Les autres applications concernées incluent Pocket Screencaster, Fast Cleaner 2021, Play Store, Postbank Security, Pocket Screencaster (nom de package différent), BAWAG PSK Security et Play Store. installation de l’application.

C’est effrayant de penser que des logiciels malveillants aussi puissants existent toujours. Ces RAT rendent toutes les étapes de protection de compte telles que l’authentification à deux facteurs (2FA) obsolètes. L’attaquant obtient le contrôle total de l’appareil de la victime et, effectivement, de ses comptes connectés. Comme Ordinateur qui bipe note, « aucune information n’est sûre et aucune mesure de protection n’est efficace » une fois que le logiciel malveillant a pénétré dans votre appareil. Assurez-vous toujours de n’installer que des applications fiables et provenant de sources fiables. N’installez pas d’applications indésirables et activez Play Protect pour rechercher des applications nuisibles.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici