Octo2 Troià bancari

Els experts en ciberseguretat han identificat una variant actualitzada del troià bancari d'Android conegut com Octo. Aquesta variant ara es millora amb funcions avançades per facilitar la presa de control del dispositiu (DTO) i permetre transaccions fraudulentes.

Anomenada Octo2 pels seus creadors, aquesta nova versió s'ha distribuït en campanyes enganyoses per països europeus, com ara Itàlia, Polònia, Moldàvia i Hongria. Els desenvolupadors han treballat per millorar l'estabilitat de les accions remotes necessàries per als atacs d'adquisició de dispositius amb èxit.

L'aparició del programari maliciós Octo Mobile

Octo va ser identificat inicialment pels investigadors a principis del 2022 i s'atribueix a un actor d'amenaces conegut pels àlies en línia Architect and goodluck. S'ha avaluat com a "descendent directe" del programari maliciós Exobot , que es va detectar per primera vegada el 2016 i que després va donar lloc a una altra variant anomenada Coper el 2021.

Desenvolupat a partir del codi font del troià bancari Marche r , Exobot es va mantenir activament fins al 2018, dirigint-se a les institucions financeres mitjançant diverses campanyes principalment a Turquia, França, Alemanya, així com Austràlia, Tailàndia i Japó. Després d'això, l'actor d'amenaces anomenat "android" va llançar una versió simplificada coneguda com ExobotCompact als fòrums de la web fosca.

Aplicacions que porten el troià bancari Octo2

Diverses aplicacions perjudicials associades a Octo2 inclouen Europe Enterprise (com.xsusb_restore3), Google Chrome (com.havirtual06numberresources) i NordVPN (com.handedfastee5).

Aquestes aplicacions d'Android canalla, que distribueixen el programari maliciós, utilitzen un conegut servei d'enllaç APK anomenat Zombinder. Aquest servei permet la troianització d'aplicacions legítimes, permetent-los descarregar el programari maliciós real (en aquest cas, Octo2) amb el pretext d'instal·lar un "connector necessari".

Actualment, no hi ha proves que suggereixin que Octo2 s'està estenent a través de Google Play Store, la qual cosa implica que els usuaris estan descarregant aquestes aplicacions de fonts poc fiables o estan sent enganyats perquè les instal·lin mitjançant tàctiques d'enginyeria social.

Amb el codi font del programari maliciós Octo original ja filtrat i disponible per a diversos actors d'amenaça, Octo2 millora aquesta base amb capacitats d'accés remot encara més robustes i tècniques avançades d'ofuscació.

Octo2 està equipat amb capacitats d'amenaça ampliades

Un altre desenvolupament important és l'evolució d'Octo cap a un model de programari maliciós com a servei (MaaS), segons l'equip Cymru. Aquest canvi permet al desenvolupador obtenir beneficis proporcionant el programari maliciós als ciberdelinqüents que busquen realitzar operacions de robatori d'informació.

En promocionar l'actualització, el propietari d'Octo va anunciar que Octo2 estaria disponible per als usuaris existents d'Octo1 al mateix preu amb opcions d'accés anticipat. Els investigadors d'Infosec preveuen que aquells que abans utilitzaven Octo1 passaran a Octo2, augmentant així la seva presència al panorama global de les amenaces.

Una de les millores clau d'Octo2 és la implementació d'un algorisme de generació de dominis (DGA) per generar els noms dels servidors de comandament i control (C2), juntament amb millores en l'estabilitat general i les tècniques antianàlisi.

L'ús d'un sistema C2 basat en DGA proporciona un avantatge important, ja que permet als actors de les amenaces canviar ràpidament a nous servidors C2, cosa que disminueix l'eficàcia de les llistes de bloqueig de noms de domini i millora la resistència davant possibles esforços de retirada.

La capacitat d'aquesta variant per executar fraus al dispositiu sense detectar i capturar informació sensible, combinada amb la seva personalització sense esforç per a diversos actors d'amenaça, augmenta el risc per als usuaris de banca mòbil a tot el món.