Trojan bancario Octo2
Gli esperti di sicurezza informatica hanno identificato una variante aggiornata del Trojan bancario Android noto come Octo. Questa variante è ora potenziata con funzionalità avanzate per facilitare il DTO (device takeover) e abilitare transazioni fraudolente.
Denominata Octo2 dai suoi creatori, questa nuova versione è stata distribuita in campagne fuorvianti in diverse nazioni europee, tra cui Italia, Polonia, Moldavia e Ungheria. Gli sviluppatori hanno lavorato per migliorare la stabilità delle azioni remote richieste per attacchi di acquisizione di dispositivi di successo.
Sommario
L'emergere del malware Octo Mobile
Octo è stato inizialmente identificato dai ricercatori all'inizio del 2022 ed è attribuito a un threat actor noto con gli alias online Architect e goodluck. È stato valutato come un "discendente diretto" del malware Exobot , rilevato per la prima volta nel 2016 e che in seguito ha dato origine a un'altra variante chiamata Coper nel 2021.
Sviluppato dal codice sorgente del trojan bancario Marche r , Exobot è stato attivamente mantenuto fino al 2018, prendendo di mira istituzioni finanziarie attraverso varie campagne principalmente in Turchia, Francia, Germania, così come Australia, Thailandia e Giappone. In seguito, una versione semplificata nota come ExobotCompact è stata rilasciata dall'attore della minaccia denominato "android" sui forum del dark web.
Applicazioni che trasportano il trojan bancario Octo2
Tra le applicazioni dannose associate a Octo2 figurano Europe Enterprise (com.xsusb_restore3), Google Chrome (com.havirtual06numberresources) e NordVPN (com.handedfastee5).
Queste applicazioni Android non autorizzate, che distribuiscono il malware, utilizzano un noto servizio di binding APK chiamato Zombinder. Questo servizio consente la trojanizzazione di applicazioni legittime, consentendo loro di scaricare il malware vero e proprio (in questo caso, Octo2) con il pretesto di installare un "plugin necessario".
Al momento non ci sono prove che suggeriscano che Octo2 venga diffuso tramite il Google Play Store, il che implica che gli utenti scaricano queste applicazioni da fonti inaffidabili o vengono ingannati e indotti a installarle tramite tattiche di ingegneria sociale.
Poiché il codice sorgente del malware Octo originale era già trapelato e facilmente accessibile a vari autori di minacce, Octo2 potenzia questa base con funzionalità di accesso remoto ancora più robuste e tecniche di offuscamento avanzate.
Octo2 è dotato di capacità di minaccia estese
Un altro sviluppo significativo è l'evoluzione di Octo in un modello Malware-as-a-Service (MaaS), secondo Team Cymru. Questo cambiamento consente allo sviluppatore di trarre profitto fornendo il malware ai criminali informatici che cercano di condurre operazioni di furto di informazioni.
Nel promuovere l'aggiornamento, il proprietario di Octo ha annunciato che Octo2 sarebbe stato disponibile per gli utenti esistenti di Octo1 allo stesso prezzo con opzioni di accesso anticipato. I ricercatori di Infosec prevedono che coloro che in precedenza utilizzavano Octo1 passeranno a Octo2, aumentando così la sua presenza nel panorama delle minacce globali.
Uno dei principali miglioramenti di Octo2 è l'implementazione di un algoritmo di generazione di domini (DGA) per generare i nomi dei server di comando e controllo (C2), insieme a miglioramenti nella stabilità generale e nelle tecniche di anti-analisi.
L'utilizzo di un sistema C2 basato su DGA offre un vantaggio significativo, consentendo agli autori delle minacce di passare rapidamente a nuovi server C2, il che riduce l'efficacia delle liste di blocco dei nomi di dominio e aumenta la resilienza contro potenziali tentativi di rimozione.
La capacità di questa variante di eseguire frodi sui dispositivi senza essere rilevata e di acquisire informazioni sensibili, unita alla sua facile personalizzazione per vari autori di minacce, aumenta il rischio per gli utenti di mobile banking in tutto il mondo.
