Investigadores de ciberseguridad han descubierto una nueva versión de un troyano bancario para Android llamado Octo que viene con capacidades mejoradas para realizar apropiación indebida de dispositivos (DTO) y realizar transacciones fraudulentas.
La nueva versión tiene el nombre en código Octo2 El autor del malware, la firma de seguridad holandesa ThreatFabric, dijo en un informe compartido con The Hacker News, y agregó que se han detectado campañas que distribuyen el malware en países europeos como Italia, Polonia, Moldavia y Hungría.
“Los desarrolladores de malware tomaron medidas para aumentar la estabilidad de las capacidades de acciones remotas necesarias para los ataques de toma de control de dispositivos”, dijo la empresa. dicho.
A continuación se enumeran algunas de las aplicaciones maliciosas que contienen Octo2:
- Empresa europea (com.xsusb_restore3)
- Google Chrome (com.havirtual06numberresources)
- NordVPN (com.handedfastee5)
Octo fue detectado por primera vez por la empresa a principios de 2022, describiéndolo como el trabajo de un actor de amenazas que utiliza los alias en línea Architect y goodluck. Se ha evaluado como un “descendiente directo” del malware Exobot detectado originalmente en 2016, que también generó otra variante denominada Coper en 2021.
“Basado en el código fuente del troyano bancario Marcher, Exobot se mantuvo hasta 2018 apuntando a instituciones financieras con una variedad de campañas centradas en Turquía, Francia y Alemania, así como en Australia, Tailandia y Japón”, señaló ThreatFabric en ese momento.
“Posteriormente, se presentó una versión ‘lite’, llamada ExobotCompact por su autor, el actor de amenazas conocido como ‘android’ en los foros de la dark web”.
Se dice que la aparición de Octo2 fue impulsada principalmente por la filtración del código fuente de Octo a principios de este año, lo que llevó a otros actores de amenazas a generar múltiples variantes del malware.
Otro avance importante es la transición de Octo a una operación de malware como servicio (MaaS), según Team Cymru, lo que permite al desarrollador monetizar el malware ofreciéndolo a ciberdelincuentes que buscan realizar operaciones de robo de información.
“Al promocionar la actualización, el propietario de Octo anunció que Octo2 estará disponible para los usuarios de Octo1 al mismo precio con acceso anticipado”, afirmó ThreatFabric. “Podemos esperar que los actores que operaban Octo1 cambien a Octo2, lo que lo incorporará al panorama de amenazas global”.
Una de las mejoras significativas de Octo2 es la introducción de un algoritmo de generación de dominio (DGA) para crear el nombre del servidor de comando y control (C2), además de mejorar su estabilidad general y técnicas antianálisis.
Las aplicaciones Android fraudulentas que distribuyen el malware se crean utilizando un conocido servicio de enlace de APK llamado Zombinder, que permite troyanizar aplicaciones legítimas para que recuperen el malware real (en este caso, Octo2) con el pretexto de instalar un “complemento necesario”.
“Dado que el código fuente del malware Octo original ya se filtró y es fácilmente accesible para varios actores de amenazas, Octo2 se basa en esta base con capacidades de acceso remoto aún más sólidas y técnicas de ofuscación sofisticadas”, dijo ThreatFabric.
“La capacidad de esta variante de realizar fraudes en el dispositivo de manera invisible e interceptar datos confidenciales, junto con la facilidad con la que diferentes actores de amenazas pueden personalizarla, aumenta los riesgos para los usuarios de banca móvil a nivel mundial”.