![[SGF23]Cyberpunk 2077 : plus de détails confirmés par CD Projekt RED, courant Juin 2023, pour Phantom Liberty ! (au détour d’un certain SGF…)](https://blog.sosordi.net/wp-content/uploads/2023/03/cd-projekt-red_cyberpunk-2077_dlc-phantom-liberty-330x180.jpg?x58390 "[SGF23]Cyberpunk 2077 : plus de détails confirmés par CD Projekt RED, courant Juin 2023, pour Phantom Liberty ! (au détour d’un certain SGF…)")
![[SGF23]Xbox Games Showcase et Starfield Direct : deux showcases sur les dernières nouveautés de la division Xbox et Bethesda ! (show-chaud…)](https://blog.sosordi.net/wp-content/uploads/2023/03/starfield_bethesda-softworks_02-330x180.jpg?x58390 "[SGF23]Xbox Games Showcase et Starfield Direct : deux showcases sur les dernières nouveautés de la division Xbox et Bethesda ! (show-chaud…)")
![[A venir !] Summer Game Fest(ival) 2023 : les annonces video-ludiques délivrées dès le 8 Juin 2023 ! (heure française…)](https://blog.sosordi.net/wp-content/uploads/2023/03/summer-game-fest-2023_vue-330x180.jpg?x58390 "[A venir !] Summer Game Fest(ival) 2023 : les annonces video-ludiques délivrées dès le 8 Juin 2023 ! (heure française…)")
![[E3 2023]”L’avenir de l’E3″ : clap de fin pour l’édition 2023 qui n’aura pas lieu… et pour le salon video-ludique ? (Ecouac…)](https://blog.sosordi.net/wp-content/uploads/2023/03/e3-2023_e3-330x180.jpg?x58390 "[E3 2023]”L’avenir de l’E3″ : clap de fin pour l’édition 2023 qui n’aura pas lieu… et pour le salon video-ludique ? (Ecouac…)")
![[MAJ 30 / 03]P60 Series, Mate X3, Enjoy 60, Watch Ultimate, Band B7, FreeBuds 5, FreeBuds Pro 2 Plus, MatePad 11, routeur Q6 Wi-fi 6 Plus, Qingyun S540 et G540… le récap’ des annonces printanières de Huawei, le 23 Mars 2023 !](https://blog.sosordi.net/wp-content/uploads/2023/03/huawei_mate-x3_02-330x180.jpg?x58390 "[MAJ 30 / 03]P60 Series, Mate X3, Enjoy 60, Watch Ultimate, Band B7, FreeBuds 5, FreeBuds Pro 2 Plus, MatePad 11, routeur Q6 Wi-fi 6 Plus, Qingyun S540 et G540… le récap’ des annonces printanières de Huawei, le 23 Mars 2023 !")
![[MAJ 10 / 03]”Quand déployons-nous le nouveau variant ?”, “project fear”… ex-filtration de messages WhatsApp entre dirigeants du Royaume-Uni ! (Lockdown files…)](https://blog.sosordi.net/wp-content/uploads/2023/03/royaume-uni_lockdown-files_covid19_01-330x180.jpg?x58390 "[MAJ 10 / 03]”Quand déployons-nous le nouveau variant ?”, “project fear”… ex-filtration de messages WhatsApp entre dirigeants du Royaume-Uni ! (Lockdown files…)")
![[Rumeur]Galaxy S24 Ultra : le prochain terminal haut de gamme de Samsung sera dopé au Snapdragon 8 Gen3 !](https://blog.sosordi.net/wp-content/uploads/2023/03/samsung_galaxy-unpacked-2023_01-02-23_60-330x180.jpg?x58390 "[Rumeur]Galaxy S24 Ultra : le prochain terminal haut de gamme de Samsung sera dopé au Snapdragon 8 Gen3 !")
![[A venir !]WWDC 2023 : les annonces d’Apple entre le 5 Juin et le 9 Juin 2023 !](https://blog.sosordi.net/wp-content/uploads/2023/03/apple_wwdc-2023_05-06-23_01-330x180.jpg?x58390 "[A venir !]WWDC 2023 : les annonces d’Apple entre le 5 Juin et le 9 Juin 2023 !")
![[A venir !]Lune : les annonces et actualisations du programme Artemis II de la NASA ! (prochaine étape, les êtres humains…)](https://blog.sosordi.net/wp-content/uploads/2023/03/nasa_csa_artemis-ii_01-330x180.jpg?x58390 "[A venir !]Lune : les annonces et actualisations du programme Artemis II de la NASA ! (prochaine étape, les êtres humains…)")
36.png){kind=small}
Tags populaires
0
Trojan bancaire multi-fonctionnel, Octo est présenté comme le descendant d’ExobotCompact (A-D – 2016 à Novembre 2021) et de Coper (mi-2021) : les botnets font partis de la famille des trojans bancaires et sévissait un peu partout dans le monde (dont Australie, Allemagne, France, Turquie, Thaïlande ou encore Japon). Distribuée au détour d’applications mobiles Android, la viralité a vraisemblablement pris un nouvel essor insécuritaire via Octo, une évolution de ce trojan bancaire, dont les premières traces d’activités ont été constatées, au moins, depuis le 23 Janvier 2022, selon l’équipe ThreatFabric.
“Le 23 janvier 2022, des analystes menaçables ont repéré un poste sur l’un des forums sombre, dans lesquels un membre recherchait OCTO Android Botnet. Une analyse plus poussée, […] a mis en lumière une connexion directe entre OCTO et ExobotCompact : en fait, ExobotCompact a été mis à jour avec plusieurs caractéristiques et renommé en tant qu’OCTO“, tout en rappelant que cet héritage malveillant, issu d’ExobotCompact et de ses versions diverses, repose sur une cyber-attaque de type ODF (On-Device-Fraud), permettant, à distance, d’aspirer les identifiants bancaires de la victime et, par ce biais, d’aspirer le contenu, entre-autres, de ses comptes bancaires, depuis l’application mobile ainsi vérolée.
Dernière version en date, la version D d’Exobot relayait un accès distant par écran direct (en streaming) tout en effectuant quelques manipulations-commandes pour rester discret et ainsi découvrir en direct la saisie des identifiants pour mieux les subtiliser, en plus d’autres actions.
Début 2022, des traces (discussions-forum) évoquent l’exploitation viable et active d’Octo, qui reprend pratiquement le même matériel que son prédécesseur, en terme de code-source, de droppers validés en toute quiétude sous Play Store par Google, depuis la console (là où d’autres développeurs sont recalés alors que l’application n’est ni malveillante ni incomplète, peu importe l’étape de développement…) et en terme de modus operandi (dont la désactivation première du Google Protect, une fois la barrière d’approbation aisément passée) voire de configurations, notamment depuis un serveur command-and-control dédié.
Analyse du système, activation-désactivation du keylogger (frappe-clavier), installation-désinstallation d’Octo, action-inaction de l’accès distant (RAT), visualisation de bon nombres de données (en plus de celles ayant attrait à la finance : notifications, SMS, contacts, notamment), mise à jour des composants du trojan bancaire… la liste des commandes du serveur command-and-control est assez fournie et élaborée, ce qui démontre une réelle réflexion et, surtout, une version-logiciel aboutie au fil des années, faisant ainsi d’Octo un trojan bancaire assez perfectionné, malheureusement. Assimilées en lien direct ou non avec Octo (et ExobotCompactD), les campagnes ou charges virales observées sur l’Internet, par l’intermédiaire d’applications mobiles ou sites Web :
- Fast Cleaner (via GymDrop – dropper) : celui-ci recèle ExobotCompact (version D) et est distribué depuis le Play Store, au moins depuis Février 2022. Alien (version A) et Xenomorph (version A) également observés. Cible essentielle : Europe (banques) dont l’Espagne, la Belgique, le Portugal et l’Italie ;
- Au détour d’une mise à jour du navigateur Web ;
- Toujours concernant GymDrop et peu après la fin de la campagne malveillante, une application mobile pour l’enregistrement-écran est apparue (Play Store), via Pocket Screencaster. L’ensemble prenait place sous Google Chrome, en tant que mise à jour (ou extension ?) et prenait sa source toujours depuis ExobotCompact (version D). Cible essentielle : Royaume-Uni, Pologne, Espagne et Portugal et plus largement l’Europe ;
- Via de nombreuses applications mobiles bancaires qui cible, là aussi, l’Europe (Allemagne et Autriche, entre-autres) mais, aussi, la Hongrie ;
- PlayStore : environ 70 applications mobiles sont concernés via une pseudo-mise à jour de l’application qui recèle, en réalité, l’instillation d’ExobotCompactD.
Comme le démontre les illustrations du billet de blog, de nombreuses banques ou institutions-groupes bancaires sont concernés : pour ne citer qu’eux, le Crédit Mutuel, BBVA Spain, NAB Mobile Banking, Barclays, Banque Sabadell, LaPoste, EasyBank voire de nombreuses banques situées en Hongrie. “Nous recommandons aux institutions financières d’avoir une solide solution de détection côté client qui peut détecter les logiciels malveillants non seulement par signatures (ExobotCompact prouve qu’il peut être inutile), mais par son comportement malveillant”, est-il adressé, par les chercheurs, aux organismes bancaires… A veiller !
Source : Threat Fabric – Avril 2022 – Octo : descendant d’ExobotCompact (A-D) et Coper, le trojan bancaire qui ex-filtres les données-systèmes et bancaires du terminal par aspiration des identifiants bancaires et depuis une application mobile ou un site Web + IOCs.
