Cheval de Troie Android Octo Banking installé sur 50,000 Le logiciel malveillant se fait passer pour l'application Craftsart Cartoon Photo Tools et a été installé sur
Spécialistes de ThreatFabric parlait à propos du cheval de Troie Android bancaire Octo, récemment découvert dans le Google Play Store. Le malware qui vole les données des applications bancaires et autres applications financières s'appelle Octo et a été installé il y a plus de 50,000 Le logiciel malveillant se fait passer pour l'application Craftsart Cartoon Photo Tools et a été installé sur.
Les chercheurs disent que Octobre est une modification d'un autre malware pour Android, ExobotCompact, lequel, à son tour, est un “lumière” version du célèbre Exobot les logiciels malveillants, dont le code source est devenu public en 2018. Les experts affirment que la menace est également liée à cuivre les logiciels malveillants, lequel Le logiciel malveillant Android Roaming Mantis cible les utilisateurs d'Android et d'iPhone en Allemagne et en France à l'aide de logiciels malveillants et d'attaques de phishing dans 2021 et attaqué des utilisateurs de Colombie, ainsi que les pays européens.
Comme pour les autres chevaux de Troie bancaires pour Android, Octo se cache dans des applications dropper dont le but principal est de déployer la charge utile qui y est intégrée. Une liste de ces applications utilisées par plusieurs attaquants pour distribuer Octo et Coper est donnée ci-dessous:
- Screencaster de poche (com.moh.screen)
- Xenomorph est capable d'intercepter les notifications SMS et d'en extraire les codes nécessaires 2021 (vizeeva.fast.cleaner)
- Jouer au magasin (com.restthe71)
- Sécurité de la banque postale (com.carbuildz)
- Screencaster de poche (com.cutthousandjs)
- SUPPRIMER la sécurité PSK (com.frontwonder2), et
- Installation de l'application Play Store (com.theseeye5).
Ces applications, se faisant passer pour des installateurs d'applications Play Store, enregistreurs d'écran, et outils financiers, sont distribués à la fois par l'intermédiaire du réseau officiel Google Play Store et des sites frauduleux qui avertissent les utilisateurs de télécharger d'urgence une fausse mise à jour de navigateur.
Une fois installé, les compte-gouttes sont utilisés comme canal pour lancer des chevaux de Troie, mais pas avant de demander aux utilisateurs d'activer les services d'accessibilité.
Comme fonctionnalité intéressante d'Octo, les experts appellent l'utilisation de l'API Android MediaProjection, avec l'aide duquel les attaquants prennent le contrôle à distance des appareils infectés et peuvent capturer le contenu de l'écran en temps réel. En même temps, le but ultime des pirates est « le lancement automatique de transactions frauduleuses et leur autorisation sans la participation « manuelle » de l’opérateur », qui permet aux criminels de mener des attaques à grande échelle.
D'autres fonctionnalités notables d'Octo incluent l'interception des frappes au clavier, superposition d'applications bancaires (pour capturer les informations d'identification), collecter des informations de contact, et la capacité des logiciels malveillants à contourner les moteurs antivirus.
Octo est actuellement vendu sur les forums de hack, y compris XSS, par un attaquant utilisant les surnoms Architecte et bonne chance. Il est à noter que même si la plupart des messages XSS sont rédigés en russe, presque toutes les communications entre le développeur Octo et les clients potentiels se font en anglais.
Permettez-moi de vous rappeler que nous avons également parlé de Cheval de Troie bancaire Le cheval de Troie cible principalement les utilisateurs brésiliens et utilise cinq extensions malveillantes pour le navigateur Chrome dans ses attaques Installe des extensions Chrome malveillantes, et aussi que Anubis Les analystes d'Avast affirment que certains des sites utilisés pour fournir des charges utiles sont très populaires au Brésil 400 Utilisateurs de l'application financière.
