Octo Banking Trojan

I ricercatori della sicurezza informatica sono stati in grado di catturare le tracce di un altro potente Trojan bancario Android. La minaccia è stata tracciata come Octo e, secondo l'analisi eseguita dai ricercatori di malware, fa parte di una famiglia di malware mobile nota come Exobot. Più specificamente, Octo sembra essere una versione rivista della minaccia ExobotCompact. Questo rebranding potrebbe essere stato fatto dai criminali informatici, nel tentativo di presentare le nuove varianti come nuove creazioni minacciose e allontanarle dal fatto che il codice sorgente di Exobot è trapelato.

Applicazioni esca

La minaccia Octo è stata distribuita tramite applicazioni danneggiate che fungono da contagocce. Alcune delle applicazioni erano disponibili da tempo sul Google Play Store, dove sono riuscite ad accumulare oltre 50mila download. Gli operatori di Octo hanno anche utilizzato siti Web e landing page ingannevoli che rilasciavano le applicazioni sui dispositivi della vittima, con il pretesto di aggiornamenti del browser. Le applicazioni canaglia si atteggiavano a programmi di installazione di applicazioni, registratori dello schermo e applicazioni finanziarie. Alcune delle applicazioni identificate che forniscono la minaccia Octo includevano Pocket Screencaster (com.moh.screen), Fast Cleaner 2021 (vizeeva.fast.cleaner), Postbank Security (com.carbuildz), BAWAG PSK Security (com.frontwonder2), Play Store installazione dell'app (com.theseeye5), ecc.

Capacità minacciose

Agli utenti verrà chiesto di concedere le autorizzazioni dei Servizi di accessibilità ai programmi fraudolenti. Un altro servizio legittimo sfruttato da Octo è l'API MediaProjection di Android. Consente alla minaccia di acquisire i contenuti dello schermo del dispositivo in tempo reale. In pratica, ciò significa che Octo può eseguire automaticamente le frodi sul dispositivo (ODF) senza l'intervento manuale dei suoi operatori. La minaccia può eseguire attacchi in overlay contro più applicazioni finanziarie e bancarie per ottenere le credenziali di accesso dell'utente. Octo può anche stabilire routine di keylogging, raccogliere informazioni di contatto, ottenere il controllo remoto sul dispositivo e altro ancora. La minaccia è inoltre dotata di tecniche di evasione per rendere più difficile il rilevamento e di meccanismi di persistenza per garantirne la presenza prolungata sui dispositivi compromessi.