Ce nouveau malware fait croire aux victimes que leurs smartphones sont éteints et en profite pour voler des identifiants bancaires.
Les jours se suivent et se ressemblent dans le monde de la cybersécurité. Octo, un énième malware bancaire qui sévit sur Android a été découvert sur le darknet en janvier 2022 par les chercheurs cyber de Threat Fabric.
Un écran noir et puis s’en va
Sans grande surprise, le code de ce cheval de Troie d’accès à distance (RAT), baptisé Octo, n’est pas totalement inconnu et tire son ADN du code d’anciens malwares, une pratique courante chez les pirates. Il aurait été créé à partir du code d’Exobot, un malware bancaire qui sévissait en 2016, et qui avait évolué en Exobot Compact.
« Le changement de marque en Octo efface les liens antérieurs avec la fuite du code source d'Exobot, invitant plusieurs acteurs de la menace à la recherche d'une opportunité de louer un cheval de Troie prétendument nouveau et original », détaillent les chercheurs.
Si Octo partage quelques fonctionnalités avec ses prédécesseurs, comme la capacité de se cacher dans des applications et de désactiver Google Protect, il se distingue par sa fonctionnalité de fraude sur l'appareil (ODF).
Une fois installé, Octo va se faufiler via le service d’accessibilité et configurer un flux direct vers les serveurs du pirate mis à jour chaque seconde à partir du terminal compromis. Après quoi, pour éviter que la victime ne se rende compte du piratage, les notifications sont désactivées, la luminosité baissée au maximum et un écran noir superposé est affiché. Octo est capable de lire le contenu de n'importe quelle application affichée à l'écran et peut « fournir à l'acteur suffisamment d'informations à distance pour interagir avec lui et effectuer une fraude sur l'appareil ».
Le logiciel peut alors intercepter des SMS, ou encore activer un logiciel qui enregistre ce que la victime tape sur son clavier. Ce qui permet ainsi de récupérer mots de passe et identifiants afin de se connecter à des applications bancaires.
50.000 téléchargements
La portée du malware est a priori relativement limitée. Il a été distribué via plusieurs applications sur le Google Play Store notamment et téléchargées 50.000 fois. Plus préoccupant, le malware « ciblait des organisations financières du monde entier, à la fois avec des campagnes larges et génériques avec un grand nombre de cibles, ainsi que des campagnes très étroites et ciblées dans toute l'Europe. »
Si vous avez récemment installé les applications Pocket Screencaster (sur le Play Store), Fast Cleaner 2021 (sur le Play Store), Postbank Security (APK), Pocket Screencaster (APK), BAWAG PSK Security (APK) c’est le moment de faire le ménage !