Investigadores de ciberseguridad han descubierto una nueva versión de un troyano bancario para Android llamado Octo que viene con capacidades mejoradas para realizar robo de dispositivos ( DTO ) y realizar transacciones fraudulentas.
El autor del malware ha bautizado la nueva versión con el nombre en código Octo2 , según afirmó la firma de seguridad holandesa ThreatFabric en un informe compartido con The Hacker News, y añadió que se han detectado campañas que distribuyen el malware en países europeos como Italia, Polonia, Moldavia y Hungría.
«Los desarrolladores de malware tomaron medidas para aumentar la estabilidad de las capacidades de acciones remotas necesarias para los ataques de toma de control de dispositivos», afirmó la compañía.
A continuación se enumeran algunas de las aplicaciones maliciosas que contienen Octo2:
- Empresa europea (com.xsusb_restore3)
- Google Chrome (com.havirtual06numberresources)
- NordVPN (com.handedfastee5)
Octo fue detectado por primera vez por la empresa a principios de 2022, describiéndolo como el trabajo de un actor de amenazas que utiliza los alias en línea Architect y goodluck. Se ha evaluado como un «descendiente directo» del malware Exobot detectado originalmente en 2016, que también generó otra variante denominada Coper en 2021.
«Basado en el código fuente del troyano bancario Marcher, Exobot se mantuvo hasta 2018 apuntando a instituciones financieras con una variedad de campañas centradas en Turquía, Francia y Alemania, así como en Australia, Tailandia y Japón», señaló ThreatFabric en ese momento.
«Posteriormente, se presentó una versión ‘lite’, llamada ExobotCompact por su autor, el actor de amenazas conocido como ‘android’ en los foros de la dark web».
Se dice que la aparición de Octo2 fue impulsada principalmente por la filtración del código fuente de Octo a principios de este año, lo que llevó a otros actores de amenazas a generar múltiples variantes del malware.
Otro avance importante es la transición de Octo a una operación de malware como servicio (MaaS), según Team Cymru, lo que permite al desarrollador monetizar el malware ofreciéndolo a los ciberdelincuentes que buscan realizar operaciones de robo de información.
«Al promocionar la actualización, el propietario de Octo anunció que Octo2 estará disponible para los usuarios de Octo1 al mismo precio con acceso anticipado», afirmó ThreatFabric. «Podemos esperar que los actores que operaban Octo1 cambien a Octo2, lo que lo incorporará al panorama de amenazas global».
Una de las mejoras significativas de Octo2 es la introducción de un algoritmo de generación de dominio (DGA) para crear el nombre del servidor de comando y control (C2), además de mejorar su estabilidad general y técnicas antianálisis.
El uso de un sistema C2 basado en DGA tiene una ventaja inherente, ya que permite al actor de amenazas cambiar fácilmente a nuevos servidores C2, lo que hace que las listas de bloqueo de nombres de dominio sean ineficaces y mejora la resiliencia contra posibles intentos de eliminación.
Las aplicaciones Android fraudulentas que distribuyen el malware se crean utilizando un servicio de enlace de APK conocido llamado Zombinder , que permite troyanizar aplicaciones legítimas para que recuperen el malware real (en este caso, Octo2) con el pretexto de instalar un «complemento necesario».
Actualmente no hay evidencia que sugiera que Octo2 se propaga a través de Google Play Store, lo que indica que es probable que los usuarios los descarguen de fuentes no confiables o sean engañados para instalarlos a través de ingeniería social.
«Dado que el código fuente del malware Octo original ya se filtró y es fácilmente accesible para varios actores de amenazas, Octo2 se basa en esta base con capacidades de acceso remoto aún más sólidas y técnicas de ofuscación sofisticadas», dijo ThreatFabric.
«La capacidad de esta variante de realizar fraudes en el dispositivo de manera invisible e interceptar datos confidenciales, junto con la facilidad con la que diferentes actores de amenazas pueden personalizarla, aumenta los riesgos para los usuarios de banca móvil a nivel mundial».
Fuente y redacción: thehackernews.com
