Cheval de Troie bancaire Octo2
Des experts en cybersécurité ont identifié une variante mise à jour du cheval de Troie bancaire Android connu sous le nom d'Octo. Cette variante est désormais dotée de fonctionnalités avancées pour faciliter la prise de contrôle de l'appareil (DTO) et permettre des transactions frauduleuses.
Baptisée Octo2 par ses créateurs, cette nouvelle version a été diffusée dans le cadre de campagnes trompeuses dans plusieurs pays européens, notamment en Italie, en Pologne, en Moldavie et en Hongrie. Les développeurs ont travaillé à améliorer la stabilité des actions à distance nécessaires à la réussite des attaques de prise de contrôle d'appareils.
Table des matières
L'émergence du malware Octo Mobile
Octo a été initialement identifié par des chercheurs début 2022 et est attribué à un acteur malveillant connu sous les pseudonymes en ligne Architect et goodluck. Il a été évalué comme un « descendant direct » du malware Exobot , qui a été détecté pour la première fois en 2016 et a ensuite donné naissance à une autre variante appelée Coper en 2021.
Développé à partir du code source du cheval de Troie bancaire Marche r , Exobot a été activement maintenu jusqu'en 2018, ciblant les institutions financières à travers diverses campagnes principalement en Turquie, en France, en Allemagne, ainsi qu'en Australie, en Thaïlande et au Japon. Par la suite, une version simplifiée connue sous le nom d'ExobotCompact a été publiée par l'acteur malveillant appelé « android » sur les forums du dark web.
Applications transportant le cheval de Troie bancaire Octo2
Plusieurs applications nuisibles associées à Octo2 incluent Europe Enterprise (com.xsusb_restore3), Google Chrome (com.havirtual06numberresources) et NordVPN (com.handedfastee5).
Ces applications Android malveillantes, qui distribuent le malware, utilisent un service de liaison APK connu appelé Zombinder. Ce service permet la trojanisation d'applications légitimes, leur permettant de télécharger le malware réel (dans ce cas, Octo2) sous prétexte d'installer un « plugin nécessaire ».
Actuellement, il n’existe aucune preuve suggérant qu’Octo2 se propage via le Google Play Store, ce qui implique que les utilisateurs téléchargent ces applications à partir de sources non fiables ou sont trompés en les installant par le biais de tactiques d’ingénierie sociale.
Le code source du malware Octo original étant déjà divulgué et facilement accessible à divers acteurs de la menace, Octo2 améliore cette base avec des capacités d'accès à distance encore plus robustes et des techniques d'obfuscation avancées.
Octo2 est équipé de capacités de menace étendues
L'évolution d'Octo vers un modèle de Malware-as-a-Service (MaaS) constitue un autre développement significatif, selon Team Cymru. Cette évolution permet au développeur de tirer profit de la fourniture du malware aux cybercriminels cherchant à mener des opérations de vol d'informations.
En faisant la promotion de la mise à jour, le propriétaire d'Octo a annoncé qu'Octo2 serait disponible pour les utilisateurs existants d'Octo1 au même prix avec des options d'accès anticipé. Les chercheurs en sécurité informatique prévoient que ceux qui utilisaient auparavant Octo1 passeront à Octo2, augmentant ainsi sa présence dans le paysage mondial des menaces.
L’une des principales améliorations d’Octo2 est la mise en œuvre d’un algorithme de génération de domaine (DGA) pour générer les noms de serveur de commande et de contrôle (C2), ainsi que des améliorations de la stabilité globale et des techniques d’anti-analyse.
L’utilisation d’un système C2 basé sur DGA offre un avantage significatif, permettant aux acteurs malveillants de passer rapidement à de nouveaux serveurs C2, ce qui diminue l’efficacité des listes de blocage de noms de domaine et améliore la résilience contre les efforts de retrait potentiels.
La capacité de cette variante à exécuter des fraudes sur l'appareil sans être détectée et à capturer des informations sensibles, combinée à sa personnalisation sans effort pour divers acteurs de la menace, augmente le risque pour les utilisateurs de services bancaires mobiles dans le monde entier.
