Nous vous avions déjà parlé de Escobar et de Xenomorph, deux malwares sous Android qui venaient faire les poches de ses pauvres victimes, mais les cas en France n’étaient pas très nombreux. Il faut dire que seules certaines banques étaient ciblées. Ce n’est pas la même chose avec Octo, un malware découvert et analysé par Threat Fabric.
Ce dernier, heureusement peu répandu sur le Play Store avec « seulement » 50 000 téléchargements sur 2 applications contaminées ratisse large avec une centaine de cibles potentielles par appareil. En ce qui concerne l’Hexagone, on compte énormément d’organismes bancaires (La Banque Postale, CIC, Fortuneo, BNP, Banque Populaire, LCL, Crédit du Nord, etc.), des applications de messagerie (WhatsApp, Skype) ou d’applis liées aux cryptomonnaies (Coinbase, Metamask, Binance, etc.)
Annonce#Octo Android banking #Trojan frequently mentioned on dark-web forums is in fact #ExobotCompact (#Coper) enhanced with On-Device Fraud capabilities and spread via Google Play Store. Read more details in our latest blog: https://t.co/x0ATL4642O
— ThreatFabric (@ThreatFabric) April 8, 2022
Une vieille connaissance
Cet Octo est en fait d’une variante de Coper, lui-même issu de Exobot et ExobotCompact. Et comme ses « illustres » grands frères, il s’agit d’un cheval de Troie qui permet d’opérer une attaque ODF (on-device fraud) où toutes les transactions frauduleuses sont initiées depuis le seul même appareil de confiance que la victime utilise tous les jours. Une fois que le trojan est dans la place, aucune information sensible n’est à l’abri : vos identifiants et mots de passe, vos SMS (souvent utilisés pour la double authentification), votre application bancaire, etc.
Octo désactive la fonction Play Protect, installe un module de contrôle à distance, un keylogger pour enregistrer vos frappes au clavier et il utilise le module natif d’Android pour enregistrer des vidéos de votre écran. Le but est de récupérer le code client unique utilisé par les applications bancaires. Vous savez, ceux avec un pavé numérique généré aléatoirement. Encore plus fourbe : le temps de faire tout ça, il baisse la luminosité de l’appareil au minimum pour passer inaperçu !
Les applications concernées
Si vous avez installé les applications Pocket Screencaster ou Fast Cleaner 2021 depuis le Google Play Store, vous des chances de faire partie des victimes. Même chose avec les applis Postbank Security, Pocket Screencaster et BAWAG PSK Security sous forme d’APK. Attention, il ne s’agit que de la partie immergée de l’iceberg puisqu’il est fort possible que d’autres applications contaminées soient encore dans la nature. Évitez donc les applications inutiles et peu connues du Play Store, ne téléchargez pas de fichiers APK sur Internet et encore plus si on vous sollicite par e-mails, message ou SMS.
