Eerder waarde het Exobotvirus rond dat hetzelfde oogmerk had, maar het is nu in een nieuw frakje weer actief en is nu Octo genoemd. Het is in staat op je telefoon mee te kijken als je bankzaken doet en schijnt daar direct misbruik van te kunnen maken, maar kan ook je telefoon overnemen.
Rondwarend op het duistere web ontdekten onderzoekers van ThreatFabric een nieuw ongerief (Octo dus). Voor Androidtelefoons is Exobot doorontwikkeld tot deze trojaan. Exobot werd overigens al in 2016 voor het eerst aangetroffen. De trojaan houdt de toetsaanslagen bij om wachtwoorden en nummers van bankpassen te achterhalen. Het virus probeert je via nagebouwde webpagina’s gegevens te ontfutselen, het zogeheten hengelen. Het is ook in staat sms-jes te onderscheppen of te versturen meldingen van bepaalde toepassingen te blokkeren of zelfs opdrachten van een server ontvangen.
De belangrijkste nieuwigheid is dat de aanvaller, die zich op het duister web presenteert als de Architect, je telefoon kan overnemen door toedoen van het virus en vrolijk kan doen wat hijzij wil. Het toestel blijft zijn gebruikelijk webadres (IP) versturen en is daardoor niet verdacht bij banken of wat ook.
Octo maakt gebruik van de Accesibility Service van Android voor zijn acties op afstand bestuurd en van Media Projection om het schermpje te kunnen zien. Het virus (de trojaan) kan zelfs een zwart scherm voortoveren om handelingen te maskeren, alle meldingen afkappen en de helderheid van het scherm veranderen.
Google Play
Zoals te doen gebruikelijk wordt het virus verspreid via toepassingen die in de winkel van Google te verkrijgen zijn. Die toepassingen bevatten het virus zelf niet maar een zogeheten ‘dropper’ die het virus op je telefoon installeert. Een van die besmette toepassingen is Fast Cleaner, die Google ook van de schappen heeft gehaald. Dat progje zou ook zijn gebruikt om de kwalijke code Xenomorph, ook op bankenrekeningen gericht, te verspreiden. Andere voorbeelden zijn: Pocket Screemcaster, Play Stor, Postbank Security, Pocket Screemcaster, BAWAG PSK Security en Play Store app.
Dit soort trojanen/virussen tonen weer eens de beperkingen van van dubbele authentificering, aangezien de aanvaller mee kan kijken (en sturen) wat de telefoongebruiker ziet en doet. Het blijft opletten welke toepassingen je op je telefoon zet.
Bron: Futura-Sciences