Attention, ce nouveau malware peut prendre le contrôle de votre compte bancaire via votre smartphone

Android
(Crédit photo: Future)

Des chercheurs en cybersécurité ont découvert qu'un cheval de Troie bancaire, responsable de nombreuses attaques mobiles dans le passé, refait actuellement surface sous un nouveau nom et une nouvelle forme. Ses auteurs vendent cette mise à niveau inquiétante sur les forums spécialisés du dark web.

Les experts de ThreatFabric ont récemment identifié la souche très dangereuse du malware Android, connue sous le nom d'Octo, qui permet à tout cybercriminel d'exploiter le terminal compromis à distance. Celui-ci exploite le service d'accessibilité pour effectuer ses actions à distance, et un module de diffusion en direct (utilisant Android MediaProjection) pour visualiser l'écran du terminal ciblé.

ExoCompact est de retour

En recouvrant l'écran d’une surface virtuelle opaque, le cybercriminel peut faire croire à sa victime que l'appareil infecté est éteint. Le logiciel malveillant peut également régler la luminosité de l'écran à zéro, et désactiver toutes les notifications. 

Une fois l'appareil piégé, le cybercriminel peut accomplir toutes sortes de tâches, comme envoyer des SMS, copier-coller le contenu du presse-papiers, y ajouter des données compromises, etc. Il fonctionne comme un keylogger, permettant le vol de mots de passe et des informations personnelles associées à vos cartes de crédit.

Après avoir obtenu l'échantillon du malware, les chercheurs ont établi qu'Octo est essentiellement une version améliorée et évoluée d'un ancien programme Android appelé ExoCompact.

ExoCompact est un trojan dont l'auteur aurait disparu en 2018, et dont le code source aurait fuité en ligne. Cependant, les chercheurs affirment maintenant que c'est le même auteur qui propose désormais Octo à la vente. Un individu connu sous les alias "Architect" et "goodluck".

Nos experts ont réussi à retrouver la trace du malware dans sept applications précédemment accessibles depuis le Play Store :

  • Pocket Screencaster (com.moh.screen)
  • Fast Cleaner 2021 (vizeeva.fast.cleaner)
  • Play Store (com.restthe71)
  • Postbank Security (com.carbuildz)
  • Pocket Screencaster (com.cutthousandjs)
  • BAWAG PSK Security (com.frontwonder2)
  • Play Store app install (com.theseeye5)

Toutes les applications ont été retirées du dépôt de Google, mais au moins 50 000 appareils ont d’ores et déjà été compromis.

Via BleepingComputer (s'ouvre dans un nouvel onglet)

Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.