Octo : un virus Android qui pirate votre compte bancaire

Un très dangereux malware Android s’en prend aux comptes bancaires de particulier français

Nous vous avions déjà parlé de Escobar et de Xenomorph, deux malwares sous Android qui venaient faire les poches de ses pauvres victimes, mais les cas en France n’étaient pas très nombreux. Il faut dire que seules certaines banques étaient ciblées. Ce n’est pas la même chose avec Octo, un malware découvert et analysé par Threat Fabric.

Ce dernier, heureusement peu répandu sur le Play Store avec « seulement » 50 000 téléchargements sur 2 applications contaminées ratisse large avec une centaine de cibles potentielles par appareil. En ce qui concerne l’Hexagone, on compte énormément d’organismes bancaires (La Banque Postale, CIC, Fortuneo, BNP, Banque Populaire, LCL, Crédit du Nord, etc.), des applications de messagerie (WhatsApp, Skype) ou d’applis liées aux cryptomonnaies (Coinbase, Metamask, Binance, etc.)

Une vieille connaissance

Cet Octo est en fait d’une variante de Coper, lui-même issu de Exobot et ExobotCompact. Et comme ses « illustres » grands frères, il s’agit d’un cheval de Troie qui permet d’opérer une attaque ODF (on-device fraud) où toutes les transactions frauduleuses sont initiées depuis le seul même appareil de confiance que la victime utilise tous les jours. Une fois que le trojan est dans la place, aucune information sensible n’est à l’abri : vos identifiants et mots de passe, vos SMS (souvent utilisés pour la double authentification), votre application bancaire, etc.

octo
Octo va même jusqu’à enregistrer l’écran des victimes en vidéo pour capturer les codes des applications bancaires…

Octo désactive la fonction Play Protect, installe un module de contrôle à distance, un keylogger pour enregistrer vos frappes au clavier et il utilise le module natif d’Android pour enregistrer des vidéos de votre écran. Le but est de récupérer le code client unique utilisé par les applications bancaires. Vous savez, ceux avec un pavé numérique généré aléatoirement. Encore plus fourbe : le temps de faire tout ça, il baisse la luminosité de l’appareil au minimum pour passer inaperçu !

Les applications concernées

Si vous avez installé les applications Pocket Screencaster ou Fast Cleaner 2021 depuis le Google Play Store, vous des chances de faire partie des victimes. Même chose avec les applis Postbank Security, Pocket Screencaster et BAWAG PSK Security sous forme d’APK. Attention, il ne s’agit que de la partie immergée de l’iceberg puisqu’il est fort possible que d’autres applications contaminées soient encore dans la nature. Évitez donc les applications inutiles et peu connues du Play Store, ne téléchargez pas de fichiers APK sur Internet et encore plus si on vous sollicite par e-mails, message ou SMS.

octo
Une fois que Octo est dans la place, il récupère tout ce qu’il peut !