Investigadores de ciberseguridad han descubierto una nueva versión de un troyano bancario para Android llamado Octo, con capacidades mejoradas para realizar toma de control de dispositivo (DTO) y realizar transacciones fraudulentas.
La nueva versión fue nombrada Octo2 El autor del malware dijo la firma de seguridad holandesa ThreatFabric en un informe compartido con The Hacker News, y agregó que se han detectado campañas que distribuyen el malware en países europeos, incluidos Italia, Polonia, Moldavia y Hungría.
“Los desarrolladores de malware han tomado medidas para aumentar la estabilidad de las capacidades de acciones remotas necesarias para los ataques de toma de control de dispositivos”, dijo la compañía. dicho.
Algunas de las aplicaciones maliciosas que contienen Octo2 se enumeran a continuación:
- Empresa europea (com.xsusb_restore3)
- Google Chrome (com.havirtual06numberresources)
- NordVPN (com.handedfastee5)
La compañía informó por primera vez sobre Octo a principios de 2022, describiéndolo como el trabajo de un actor malicioso que utiliza los alias en línea Architect y goodluck. Se ha evaluado como un “descendiente directo” del malware Exobot detectado originalmente en 2016, que también generó otra variante denominada Coper en 2021.
“Basado en el código fuente del troyano bancario Marcher, Exobot se mantuvo hasta 2018 dirigido a instituciones financieras con una variedad de campañas centradas en Turquía, Francia y Alemania, así como en Australia, Tailandia y Japón”, señaló ThreatFabric en ese momento.
“Posteriormente, se introdujo una versión “lite”, denominada ExobotCompact por su autor, el actor malicioso conocido como “android” en los foros de la web oscura. »
Según se informa, la aparición de Octo2 se debió principalmente a la filtración del código fuente de Octo a principios de este año, lo que llevó a otros actores maliciosos a generar múltiples variantes del malware.
Otro avance importante es el paso de Octo a una operación de malware como servicio (MaaS), según Team Cymru, lo que permite al desarrollador monetizar el malware ofreciéndolo a ciberdelincuentes que buscan llevar a cabo operaciones de robo de información.
“Mientras promocionaba la actualización, el propietario de Octo anunció que Octo2 estaría disponible para los usuarios de Octo1 al mismo precio con acceso anticipado”, dijo ThreatFabric. “Podemos esperar que los actores que explotaron Octo1 pasen a Octo2, introduciéndolo en el panorama de amenazas global. »
Una de las mejoras significativas en Octo2 es la introducción de un algoritmo de generación de dominio (DGA) para crear el nombre del servidor de comando y control (C2), además de mejorar su estabilidad general y sus técnicas anti-análisis.
Las aplicaciones maliciosas de Android que distribuyen el malware se crean utilizando un conocido servicio de vinculación de APK llamado Zombinder, que permite troyanizar aplicaciones legítimas para que lleven el malware real (en este caso, Octo2) con el pretexto de instalar un “complemento necesario”. .
“Dado que el código fuente del malware Octo original ya se filtró y es fácilmente accesible para varios actores de amenazas, Octo2 se basa en esta base con capacidades de acceso remoto aún más sólidas y técnicas de ofuscación sofisticadas”, dijo ThreatFabric.
“La capacidad de esta variante para realizar fraudes invisibles en el dispositivo e interceptar datos confidenciales, junto con la facilidad con la que diferentes actores de amenazas pueden personalizarla, aumenta los riesgos para los usuarios de banca móvil a escala global. »