Passer au contenu

De fausses apps Chrome et NordVPN cachent une nouvelle version d’un malware bien connu

Une nouvelle version du malware Octo se répand en Europe. En se dissimulant dans de fausses applications Android comme Google Chrome et NordVPN, ce redoutable cheval de Troie cherche à siphonner les comptes bancaires de ses victimes.

Une nouvelle version du malware Octo se propage actuellement dans plusieurs pays d’Europe, révèle ThreatFabric. Apparu pour la première fois en 2022, Octo est une version améliorée du malware Android connu sous le nom de “ExoCompact”, ou encore “Exobot”, un cheval de Troie bancaire. Ce virus né en 2016  utilisait des techniques avancées pour voler des informations sensibles, comme les identifiants bancaires, sur les smartphones Android.

À lire aussi : Le malware Necro a piraté 11 millions de smartphones Android via le Play Store

Aux origines du malware Octo

Les chercheurs de ThreatFabric ont pu détecter les premières traces d’Octo il y a deux ans. Le malware était parvenu à contourner les défenses du Play Store en s’infiltrant dans le code de plusieurs applications qui promettaient de nettoyer le smartphone des utilisateurs. Cette première itération d’Octo jouissait déjà d’un vaste arsenal. Le malware était en effet capable d’enregistrer les frappes au clavier virtuel, de naviguer à distance sur le téléphone, d’intercepter les SMS, de verrouiller l’écran, de couper le son, de lancer des applications ou d’envoyer des messages de phishing. Cette version était déjà redoutable.

Comme l’explique ThreatFabric, le code source du virus a été divulgué sur la toile il y a quelques mois. De facto, de nombreux pirates se sont servis du code d’Octo pour imaginer leur propre version du malware. Les chercheurs ont d’ailleurs constaté « une activité croissante d’Octo ». Sans surprise, la fuite du code source a pénalisé les ventes du virus, au grand dam de son créateur, un cybercriminel qui se fait appeler Architect. Octo est en effet proposé à tous les hackers dans le cadre abonnement Malware-as-a-Service (MaaS). Comme de nombreux criminels, Architect loue ses outils à d’autres pirates moyennant finances. Ce modèle commercial, très répandu dans le monde criminel, aide les hackers les moins débrouillards à orchestrer facilement leurs propres attaques.

En réaction, le développeur a mis au point une seconde version de son logiciel malveillant, Octo2. Avec cette nouvelle itération, présentée comme plus performante, le pirate cherche vraisemblablement à relancer les ventes de son virus. La nouvelle version se distingue notamment par des transferts de données plus stables. Le développeur a en effet optimisé le fonctionnement du module d’accès à distance (RAT) dans le malware pour limiter la bande passante utilisée. Cela permet au malware de maintenir une connectivité plus stable et fiable avec les pirates, même lorsque la connexion Internet est lente ou de mauvaise qualité. 

Octo2 menace l’Europe

Les chercheurs ont identifié plusieurs campagnes reposant sur la nouvelle version d’Octo en Italie, en Pologne, en Moldavie et en Hongrie. Pour se propager dans les pays visés, le virus se cache dans de fausses applications estampillées Google Chrome, NordVPN ou encore Enterprise Europe. Ces APK malveillants sont partagés sur des magasins d’applications tiers. Pour l’heure, il n’est pas parvenu à entrer sur le Play Store. Une fois qu’il s’est immiscé sur le téléphone de ses cibles, le virus va chercher à s’emparer des identifiants permettant d’accéder à leur compte bancaire. Octo2 vise plusieurs banques européennes.

« L’émergence de la variante Octo2 signale de futurs défis pour la sécurité des services bancaires mobiles, car ses capacités améliorées et son utilisation plus large présentent des risques importants », résume ThreatFabric.

Pour le moment, la deuxième génération du malware cible uniquement une poignée de pays européens, mais il faut s’attendre à ce que d’autres régions soient rapidement visées. Em miroir d’Octo1, Octo2 est mis à la disposition de gangs de cybercriminels qui s’attaquent à une large variété de régions dans le monde. Or, il faut « s’attendre à ce que les acteurs qui exploitaient Octo1 passent à Octo2 », met en garde le rapport. On peut craindre qu’Octo2 arrive sous peu dans le monde entier, à commencer par les États-Unis, le Canada, l’Australie et le Moyen-Orient.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : Threat Fabric


Florian Bayard
Votre opinion
  1. Quand est-ce -qu’on élimine la racaille de parasites fainéants sans scrupules qui ne sont capables de rien, sauf de gagner ( ? beaucoup ) de flouze en un minimum de temps sans rien faire ? Soit tu les mets au goulag de l’instruction, ou la Justice les bute. A défaut Bute les “Grands” ( car c’est plus facile), ils ne se voient qu’eux. Aux derniers jours de la planète, les loups se boufferont entre eux. Personne ne sera sauvé. Soit on se prend en mains, soit on coule. N’te tracasse pas avant l’heure,
    je suis vieux et Bourré. Vive le passé,… Heu je ne me suis pas trompé. HiHi. Pas besoin de réponse de votre part.

Les commentaires sont fermés.