Une nouvelle version du malware Octo se répand en Europe. En se dissimulant dans de fausses applications Android comme Google Chrome et NordVPN, ce redoutable cheval de Troie cherche à siphonner les comptes bancaires de ses victimes.
Une nouvelle version du malware Octo se propage actuellement dans plusieurs pays d’Europe, révèle ThreatFabric. Apparu pour la première fois en 2022, Octo est une version améliorée du malware Android connu sous le nom de “ExoCompact”, ou encore “Exobot”, un cheval de Troie bancaire. Ce virus né en 2016 utilisait des techniques avancées pour voler des informations sensibles, comme les identifiants bancaires, sur les smartphones Android.
À lire aussi : Le malware Necro a piraté 11 millions de smartphones Android via le Play Store
Aux origines du malware Octo
Les chercheurs de ThreatFabric ont pu détecter les premières traces d’Octo il y a deux ans. Le malware était parvenu à contourner les défenses du Play Store en s’infiltrant dans le code de plusieurs applications qui promettaient de nettoyer le smartphone des utilisateurs. Cette première itération d’Octo jouissait déjà d’un vaste arsenal. Le malware était en effet capable d’enregistrer les frappes au clavier virtuel, de naviguer à distance sur le téléphone, d’intercepter les SMS, de verrouiller l’écran, de couper le son, de lancer des applications ou d’envoyer des messages de phishing. Cette version était déjà redoutable.
Comme l’explique ThreatFabric, le code source du virus a été divulgué sur la toile il y a quelques mois. De facto, de nombreux pirates se sont servis du code d’Octo pour imaginer leur propre version du malware. Les chercheurs ont d’ailleurs constaté « une activité croissante d’Octo ». Sans surprise, la fuite du code source a pénalisé les ventes du virus, au grand dam de son créateur, un cybercriminel qui se fait appeler Architect. Octo est en effet proposé à tous les hackers dans le cadre abonnement Malware-as-a-Service (MaaS). Comme de nombreux criminels, Architect loue ses outils à d’autres pirates moyennant finances. Ce modèle commercial, très répandu dans le monde criminel, aide les hackers les moins débrouillards à orchestrer facilement leurs propres attaques.
En réaction, le développeur a mis au point une seconde version de son logiciel malveillant, Octo2. Avec cette nouvelle itération, présentée comme plus performante, le pirate cherche vraisemblablement à relancer les ventes de son virus. La nouvelle version se distingue notamment par des transferts de données plus stables. Le développeur a en effet optimisé le fonctionnement du module d’accès à distance (RAT) dans le malware pour limiter la bande passante utilisée. Cela permet au malware de maintenir une connectivité plus stable et fiable avec les pirates, même lorsque la connexion Internet est lente ou de mauvaise qualité.
Octo2 menace l’Europe
Les chercheurs ont identifié plusieurs campagnes reposant sur la nouvelle version d’Octo en Italie, en Pologne, en Moldavie et en Hongrie. Pour se propager dans les pays visés, le virus se cache dans de fausses applications estampillées Google Chrome, NordVPN ou encore Enterprise Europe. Ces APK malveillants sont partagés sur des magasins d’applications tiers. Pour l’heure, il n’est pas parvenu à entrer sur le Play Store. Une fois qu’il s’est immiscé sur le téléphone de ses cibles, le virus va chercher à s’emparer des identifiants permettant d’accéder à leur compte bancaire. Octo2 vise plusieurs banques européennes.
« L’émergence de la variante Octo2 signale de futurs défis pour la sécurité des services bancaires mobiles, car ses capacités améliorées et son utilisation plus large présentent des risques importants », résume ThreatFabric.
Pour le moment, la deuxième génération du malware cible uniquement une poignée de pays européens, mais il faut s’attendre à ce que d’autres régions soient rapidement visées. Em miroir d’Octo1, Octo2 est mis à la disposition de gangs de cybercriminels qui s’attaquent à une large variété de régions dans le monde. Or, il faut « s’attendre à ce que les acteurs qui exploitaient Octo1 passent à Octo2 », met en garde le rapport. On peut craindre qu’Octo2 arrive sous peu dans le monde entier, à commencer par les États-Unis, le Canada, l’Australie et le Moyen-Orient.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
Threat Fabric