Ce virus vole vos coordonnées bancaires sur votre smartphone

En surveillant le dark web, l'entreprise de cybersécurité ThreatFabric a découvert l'existence d'un nouveau cheval de Troie bancaire, baptisé Octo. Spécifique à AndroidAndroid, il s'agit d'une nouvelle version, plus évoluée, du cheval de Troie ExobotCompact.D, lui-même une évolution du malwaremalware Exobot découvert pour la première fois en 2016

Comme la plupart des malwares bancaires, Octo peut enregistrer les frappes au clavierclavier afin d'enregistrer mots de passemots de passe et numéros de carte bancaire. Il vise également des applicationsapplications spécifiques, notamment bancaires, où il affiche une fausse page par-dessus l'application qui demande à la victime de s'identifier. Le malware intègre aussi des fonctions pour intercepter et envoyer des SMSSMS, bloquer les notifications d'applications spécifiques, ou encore recevoir des commandes d'un serveur.

Le malware réalise les opérations frauduleuses directement sur l’appareil (On-Device Fraud) afin que l’activité soit moins suspecte. © ThreatFabric

L’auteur peut commander le smartphone en temps réel

Toutefois, la nouveauté principale est que l'auteur a désormais la possibilité de prendre en main le smartphonesmartphone de la victime. En plus de simplement voler les données et de les utiliser plus tard, il peut réaliser des opérations directement sur l'appareil infecté, réduisant le risque de détection. Les actions provenant de l'appareil et de l'adresse IPadresse IP habituels, elles ont moins de risques d'être signalées comme suspectes par la banque ou l'application visée.

Octo s'appuie sur la fonction AccessibilityService d'Android pour réaliser les actions à distance (cliquer, faire défiler, coller du texte...), et la fonction MediaProjection pour afficher l'écran à raison d'une capture d'écran par seconde. L'auteur pourrait même créer un script pour les effectuer automatiquement selon l'application, sans avoir à interagir directement avec l'appareil infecté. Le cheval de Troie peut également afficher un écran noir pour cacher ses actions, couper toutes les notifications et baisser la luminosité au minimum.

De fausses pages Web qui réclament une mise à jour du navigateur redirigent les victimes vers les fausses applications sur le Play Store. © ThreatFabric

De fausses applications sur le Play Store

Le cheval de Troie a été distribué grâce à de fausses applications directement sur le Play Store de Google, qui ont été téléchargées plus de 50.000 fois. Ceux-ci ne contiennent pas le malware, mais un module (dropper) qui permet de l'installer, afin de contourner la sécurité du Play StoreStore. Pour inciter les victimes à installer une de ces applications, l'auteur a utilisé de fausses pages sur des sites infectés qui demandent de télécharger une mise à jour du navigateurnavigateur. L'une des applications pointées du doigt, et retirée depuis, est Fast Cleaner (vizeeva.fast.cleaner), qui a aussi été utilisée pour installer le malware bancaire Xenomorph. Les autres applications frauduleuses sont :

• Pocket Screencaster (com.moh.screen)
• Play Store (com.restthe71)
• Postbank Security (com.carbuildz)
• Pocket Screencaster (com.cutthousandjs)
• BAWAG PSK Security (com.frontwonder2)
• Play Store app install (com.theseeye5)

Ce genre de malware montre les limites de la double authentification, puisqu'il a accès aux comptes du smartphone et peut intercepter tout message reçu. La victime ne se rend même pas compte du problème étant donné que l'écran semble rester éteint. La seule parade est de faire très attention aux applications installées.