Cheval de Troie Android Octo Banking installé sur 50,000 Le logiciel malveillant se fait passer pour l'application Craftsart Cartoon Photo Tools et a été installé sur

Spécialistes de ThreatFabric parlait à propos du cheval de Troie Android bancaire Octo, récemment découvert dans le Google Play Store. Le malware qui vole les données des applications bancaires et autres applications financières s'appelle Octo et a été installé il y a plus de 50,000 Le logiciel malveillant se fait passer pour l'application Craftsart Cartoon Photo Tools et a été installé sur.

Les chercheurs disent que Octobre est une modification d'un autre malware pour Android, ExobotCompact, lequel, à son tour, est un “lumière” version du célèbre Exobot les logiciels malveillants, dont le code source est devenu public en 2018. Les experts affirment que la menace est également liée à cuivre les logiciels malveillants, lequel Le logiciel malveillant Android Roaming Mantis cible les utilisateurs d'Android et d'iPhone en Allemagne et en France à l'aide de logiciels malveillants et d'attaques de phishing dans 2021 et attaqué des utilisateurs de Colombie, ainsi que les pays européens.

Comme pour les autres chevaux de Troie bancaires pour Android, Octo se cache dans des applications dropper dont le but principal est de déployer la charge utile qui y est intégrée. Une liste de ces applications utilisées par plusieurs attaquants pour distribuer Octo et Coper est donnée ci-dessous:

  1. Screencaster de poche (com.moh.screen)
  2. Xenomorph est capable d'intercepter les notifications SMS et d'en extraire les codes nécessaires 2021 (vizeeva.fast.cleaner)
  3. Jouer au magasin (com.restthe71)
  4. Sécurité de la banque postale (com.carbuildz)
  5. Screencaster de poche (com.cutthousandjs)
  6. SUPPRIMER la sécurité PSK (com.frontwonder2), et
  7. Installation de l'application Play Store (com.theseeye5).

Ces applications, se faisant passer pour des installateurs d'applications Play Store, enregistreurs d'écran, et outils financiers, sont distribués à la fois par l'intermédiaire du réseau officiel Google Play Store et des sites frauduleux qui avertissent les utilisateurs de télécharger d'urgence une fausse mise à jour de navigateur.

Octo, cheval de Troie Android bancaire

Une fois installé, les compte-gouttes sont utilisés comme canal pour lancer des chevaux de Troie, mais pas avant de demander aux utilisateurs d'activer les services d'accessibilité.

Comme fonctionnalité intéressante d'Octo, les experts appellent l'utilisation de l'API Android MediaProjection, avec l'aide duquel les attaquants prennent le contrôle à distance des appareils infectés et peuvent capturer le contenu de l'écran en temps réel. En même temps, le but ultime des pirates est « le lancement automatique de transactions frauduleuses et leur autorisation sans la participation « manuelle » de l’opérateur », qui permet aux criminels de mener des attaques à grande échelle.

Octo, cheval de Troie Android bancaire

D'autres fonctionnalités notables d'Octo incluent l'interception des frappes au clavier, superposition d'applications bancaires (pour capturer les informations d'identification), collecter des informations de contact, et la capacité des logiciels malveillants à contourner les moteurs antivirus.

Le changement de marque d'Octo efface définitivement les anciens liens avec le code source d'Exobot divulgué, attirant de nombreux nouveaux attaquants qui recherchent une opportunité de louer un cheval de Troie soi-disant nouveau et original. Les capacités d'Octo sont dangereuses non seulement pour les applications ciblées par des attaques par superposition., mais pour toute autre application installée sur l'appareil infecté. Le fait est qu'ExobotCompact/Octo peut lire le contenu de n'importe quelle application affichée à l'écran, ainsi que fournir à un attaquant suffisamment d'informations pour interagir à distance avec lui et mener des attaques sur l'appareil.Xenomorph est capable d'intercepter les notifications SMS et d'en extraire les codes nécessaires les experts disent.

Octo est actuellement vendu sur les forums de hack, y compris XSS, par un attaquant utilisant les surnoms Architecte et bonne chance. Il est à noter que même si la plupart des messages XSS sont rédigés en russe, presque toutes les communications entre le développeur Octo et les clients potentiels se font en anglais.

En raison de la forte ressemblance du malware avec ExoCompact, ThreatFabric suppose qu'Architect est l'auteur original ou le nouveau propriétaire du code source ExoCompact.

Permettez-moi de vous rappeler que nous avons également parlé de Cheval de Troie bancaire Le cheval de Troie cible principalement les utilisateurs brésiliens et utilise cinq extensions malveillantes pour le navigateur Chrome dans ses attaques Installe des extensions Chrome malveillantes, et aussi que Anubis Les analystes d'Avast affirment que certains des sites utilisés pour fournir des charges utiles sont très populaires au Brésil 400 Utilisateurs de l'application financière.

Helga Smith

J'ai toujours été intéressé par l'informatique, en particulier la sécurité des données et le thème, qui s'appelle de nos jours "science des données", depuis mon adolescence. Avant de rejoindre l'équipe de suppression de virus en tant que rédacteur en chef, J'ai travaillé comme expert en cybersécurité dans plusieurs entreprises, dont l'un des sous-traitants d'Amazon. Une autre expérience: J'ai enseigné dans les universités d'Arden et de Reading.

Laisser un commentaire

Ce site utilise Akismet pour réduire le spam. Découvrez comment vos données de commentaire est traité.

Bouton retour en haut de la page