Octo2 Banking Trojan
Os especialistas em segurança cibernética identificaram uma variante atualizada do Trojan bancário para Android conhecido como Octo. Esta variante agora é aprimorada com recursos avançados para facilitar a aquisição de dispositivos (DTO) e permitir transações fraudulentas.
Apelidada de Octo2 por seus criadores, esta nova versão foi distribuída em campanhas enganosas em nações europeias, incluindo Itália, Polônia, Moldávia e Hungria. Os desenvolvedores trabalharam para melhorar a estabilidade das ações remotas necessárias para ataques bem-sucedidos de aquisição de dispositivos.
Índice
O Surgimento do Malware Octo Mobile
Octo foi identificado inicialmente por pesquisadores no início de 2022 e é atribuído a um agente de ameaça conhecido pelos pseudônimos online Architect e goodluck. Ele foi avaliado como um "descendente direto" do malware Exobot , que foi detectado pela primeira vez em 2016 e mais tarde deu origem a outra variante chamada Coper em 2021.
Desenvolvido a partir do código-fonte do Trojan bancário Marcher, o Exobot foi mantido ativamente até 2018, visando instituições financeiras por meio de várias campanhas, principalmente na Turquia, França, Alemanha, bem como Austrália, Tailândia e Japão. Depois disso, uma versão simplificada conhecida como ExobotCompact foi lançada pelo ator da ameaça chamado de "android" em fóruns da dark web.
Aplicativos que Transportam o Octo2 Banking Trojan
Vários aplicativos prejudiciais associados ao Octo2 incluem Europe Enterprise (com.xsusb_restore3), Google Chrome (com.havirtual06numberresources) e NordVPN (com.handedfastee5).
Esses aplicativos Android desonestos, que distribuem o malware, utilizam um serviço de vinculação de APK conhecido chamado Zombinder. Esse serviço permite a trojanização de aplicativos legítimos, permitindo que eles baixem o malware real (nesse caso, Octo2) sob o pretexto de instalar um 'plugin necessário'.
Atualmente, não há evidências sugerindo que o Octo2 esteja sendo espalhado pela Google Play Store, o que sugere que os usuários estão baixando esses aplicativos de fontes não confiáveis ou sendo enganados para instalá-los por meio de táticas de engenharia social.
Com o código-fonte do malware Octo original já vazado e prontamente disponível para vários agentes de ameaças, o Octo2 aprimora essa base com recursos de acesso remoto ainda mais robustos e técnicas avançadas de ofuscação.
O Octo2 é Equipado com Capacidades de Ameaça Expandidas
Outro desenvolvimento significativo é a evolução do Octo para um modelo Malware-as-a-Service (MaaS), de acordo com a Team Cymru. Essa mudança permite que o desenvolvedor lucre fornecendo o malware para cibercriminosos que buscam conduzir operações de roubo de informações.
Ao promover a atualização, o proprietário do Octo anunciou que o Octo2 estaria disponível para usuários existentes do Octo1 pelo mesmo preço com opções de acesso antecipado. Pesquisadores de Infosec antecipam que aqueles que usavam o Octo1 anteriormente farão a transição para o Octo2, aumentando assim sua presença no cenário global de ameaças.
Uma das principais melhorias no Octo2 é a implementação de um Algoritmo de Geração de Domínio (DGA) para gerar os nomes dos servidores de Comando e Controle (C2), juntamente com melhorias na estabilidade geral e técnicas antianálise.
Utilizar um sistema C2 baseado em DGA oferece uma vantagem significativa, permitindo que agentes de ameaças mudem rapidamente para novos servidores C2, o que diminui a eficácia das listas de bloqueio de nomes de domínio e aumenta a resiliência contra possíveis esforços de remoção.
A capacidade dessa variante de executar fraudes no dispositivo sem ser detectada e capturar informações confidenciais, combinada com sua personalização fácil para vários agentes de ameaças, aumenta o risco para usuários de serviços bancários móveis no mundo todo.
