Actualités

Octo : une version améliorée des botnets Exobot(Compact) et Coper qui déploie des outils pour ex-filtrer les données bancaires ! (brand new life…)

Trojan bancaire multi-fonctionnel, Octo est présenté comme le descendant d’ExobotCompact (A-D – 2016 à Novembre 2021) et de Coper (mi-2021) : les botnets font partis de la famille des trojans bancaires et sévissait un peu partout dans le monde (dont Australie, Allemagne, France, Turquie, Thaïlande ou encore Japon). Distribuée au détour d’applications mobiles Android, la viralité a vraisemblablement pris un nouvel essor insécuritaire via Octo, une évolution de ce trojan bancaire, dont les premières traces d’activités ont été constatées, au moins, depuis le 23 Janvier 2022, selon l’équipe ThreatFabric.

 

 

“Le 23 janvier 2022, des analystes menaçables ont repéré un poste sur l’un des forums sombre, dans lesquels un membre recherchait OCTO Android Botnet. Une analyse plus poussée, […] a mis en lumière une connexion directe entre OCTO et ExobotCompact : en fait, ExobotCompact a été mis à jour avec plusieurs caractéristiques et renommé en tant qu’OCTO“, tout en rappelant que cet héritage malveillant, issu d’ExobotCompact et de ses versions diverses, repose sur une cyber-attaque de type ODF (On-Device-Fraud), permettant, à distance, d’aspirer les identifiants bancaires de la victime et, par ce biais, d’aspirer le contenu, entre-autres, de ses comptes bancaires, depuis l’application mobile ainsi vérolée.

 

Dernière version en date, la version D d’Exobot relayait un accès distant par écran direct (en streaming) tout en effectuant quelques manipulations-commandes pour rester discret et ainsi découvrir en direct la saisie des identifiants pour mieux les subtiliser, en plus d’autres actions.

 

Début 2022, des traces (discussions-forum) évoquent l’exploitation viable et active d’Octo, qui reprend pratiquement le même matériel que son prédécesseur, en terme de code-source, de droppers validés en toute quiétude sous Play Store par Google, depuis la console (là où d’autres développeurs sont recalés alors que l’application n’est ni malveillante ni incomplète, peu importe l’étape de développement…) et en terme de modus operandi (dont la désactivation première du Google Protect, une fois la barrière d’approbation aisément passée) voire de configurations, notamment depuis un serveur command-and-control dédié.

Analyse du système, activation-désactivation du keylogger (frappe-clavier), installation-désinstallation d’Octo, action-inaction de l’accès distant (RAT), visualisation de bon nombres de données (en plus de celles ayant attrait à la finance : notifications, SMS, contacts, notamment), mise à jour des composants du trojan bancaire… la liste des commandes du serveur command-and-control est assez fournie et élaborée, ce qui démontre une réelle réflexion et, surtout, une version-logiciel aboutie au fil des années, faisant ainsi d’Octo un trojan bancaire assez perfectionné, malheureusement. Assimilées en lien direct ou non avec Octo (et ExobotCompactD), les campagnes ou charges virales observées sur l’Internet, par l’intermédiaire d’applications mobiles ou sites Web :

 

  • Fast Cleaner (via GymDrop – dropper) : celui-ci recèle ExobotCompact (version D) et est distribué depuis le Play Store, au moins depuis Février 2022. Alien (version A) et Xenomorph (version A) également observés. Cible essentielle : Europe (banques) dont l’Espagne, la Belgique, le Portugal et l’Italie ;

 

  • Au détour d’une mise à jour du navigateur Web ;

 

  • Toujours concernant GymDrop et peu après la fin de la campagne malveillante, une application mobile pour l’enregistrement-écran est apparue (Play Store), via Pocket Screencaster. L’ensemble prenait place sous Google Chrome, en tant que mise à jour (ou extension ?) et prenait sa source toujours depuis ExobotCompact (version D). Cible essentielle : Royaume-Uni, Pologne, Espagne et Portugal et plus largement l’Europe ;

 

  • Via de nombreuses applications mobiles bancaires qui cible, là aussi, l’Europe (Allemagne et Autriche, entre-autres) mais, aussi, la Hongrie ;

 

  • PlayStore : environ 70 applications mobiles sont concernés via une pseudo-mise à jour de l’application qui recèle, en réalité, l’instillation d’ExobotCompactD.

 

 

Comme le démontre les illustrations du billet de blog, de nombreuses banques ou institutions-groupes bancaires sont concernés : pour ne citer qu’eux, le Crédit Mutuel, BBVA Spain, NAB Mobile Banking, Barclays, Banque Sabadell, LaPoste, EasyBank voire de nombreuses banques situées en Hongrie. “Nous recommandons aux institutions financières d’avoir une solide solution de détection côté client qui peut détecter les logiciels malveillants non seulement par signatures (ExobotCompact prouve qu’il peut être inutile), mais par son comportement malveillant”, est-il adressé, par les chercheurs, aux organismes bancaires… A veiller !

 

 

Source : Threat Fabric – Avril 2022 – Octo : descendant d’ExobotCompact (A-D) et Coper, le trojan bancaire qui ex-filtres les données-systèmes et bancaires du terminal par aspiration des identifiants bancaires et depuis une application mobile ou un site Web + IOCs.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.11.6