Une nouvelle version du logiciel malveillant Octo Android, nommée « Octo2 », s’est répandue à travers l’Europe sous le couvert de NordVPN, Google Chrome et d’une application appelée Europe Enterprise.
La nouvelle variante, analysée par ThreatFabric, offre une meilleure stabilité opérationnelle, des mécanismes d’anti-analyse et d’anti-détection plus avancés et un système d’algorithme de génération de domaine (DGA) pour des communications résilientes de commandement et de contrôle (C2).
Au final, son apparition dans la nature confirme que le projet est vivant et évolue malgré les turbulences qu’il a traversées récemment.
Bref historique et évolution
Octo est un cheval de Troie bancaire Android qui a évolué à partir d’ExoCompact (2019-2021), lui-même basé sur le cheval de Troie ExoBot lancé en 2016 et dont le code source a été divulgué en ligne à l’été 2018.
ThreatFabric a découvert la première version d’Octo en avril 2022 sur de fausses applications de nettoyage dans Google Play. Le rapport de TF à l’époque mettait en évidence les capacités de fraude sur l’appareil du logiciel malveillant qui permettaient à ses opérateurs un accès étendu aux données de la victime.
Entre autres choses, Octo v1 prenait en charge l’enregistrement de frappe, la navigation sur l’appareil, l’interception de SMS et de notifications push, le verrouillage de l’écran de l’appareil, la mise en sourdine du son, les lancements arbitraires d’applications et l’utilisation d’appareils infectés pour la distribution de SMS.
ThreatFabric dit que l’Octo a été divulgué cette année, provoquant l’apparition de plusieurs branches du malware dans la nature, créant vraisemblablement une baisse des ventes pour le créateur d’origine, ‘Architect.’
À la suite de ces événements, Architect a annoncé Octo2, probablement pour tenter de lancer une version mise à niveau sur le marché des logiciels malveillants et susciter l’intérêt des cybercriminels. Le créateur du malware a même annoncé une remise spéciale pour les clients d’Octo v1.
Opérations d’Octo 2 en Europe
Les campagnes déployant actuellement Oc to 2 se concentrent sur l’Italie, la Pologne, la Moldavie et la Hongrie. Cependant, comme la plate-forme Octo Malware-as-a-Service (MaaS) a déjà facilité des attaques dans le monde entier, y compris aux États-Unis, au Canada, en Australie et au Moyen-Orient, nous verrons probablement bientôt des campagnes Octo2 apparaître dans d’autres régions.
Dans les opérations européennes, les acteurs de la menace utilisent de fausses applications NordVPN et Google Chrome, ainsi qu’une application Europe Enterprise, qui est probablement un leurre utilisé dans des attaques ciblées.
Octo 2 utilise le service Zombider pour ajouter la charge utile malveillante dans ces Apc tout en contournant les restrictions de sécurité Android 13 (et versions ultérieures).
Plus stable, plus évasif, plus capable
Octo2 est davantage une mise à niveau progressive de la première version, améliorant progressivement le logiciel malveillant plutôt que de mettre en œuvre des modifications révolutionnaires ou de réécrire le code à partir de zéro.
Tout d’abord, l’auteur du malware a introduit un nouveau paramètre de faible qualité sur le module RAT (remote access tool) appelé « SHIT_QUALITY » qui réduit les transmissions de données au minimum, permettant une connectivité plus fiable lorsque les vitesses de connexion Internet sont inférieures à la moyenne.
Octo2 déchiffre également sa charge utile à l’aide de code natif et complique l’analyse en chargeant dynamiquement des bibliothèques supplémentaires pendant l’exécution, améliorant encore ses capacités d’évasion déjà solides.
Enfin, Octo2 introduit un système de domaine C2 basé sur DGA qui permet aux opérateurs de mettre à jour rapidement et de basculer vers de nouveaux serveurs C2, rendant les listes de blocage inefficaces et améliorant la résilience contre les tentatives de retrait des serveurs.
ThreatFabric note également qu’Octo2 reçoit désormais une liste d’applications à intercepter et à bloquer les notifications push, permettant aux opérateurs d’affiner leur champ de ciblage.
Octo2 n’a pas été repéré sur Google Play, on pense donc actuellement que sa distribution est limitée aux magasins d’applications tiers, ce que les utilisateurs d’Android devraient éviter.