Octo Banking Trojan

Os pesquisadores de segurança cibernética conseguiram detectar os rastros de outro potente Trojan bancário para o Android. A ameaça foi rastreada como Octo e, de acordo com a análise realizada pelos pesquisadores de malware, faz parte de uma família de malware para celulares conhecida como Exobot. Mais especificamente, o Octo parece ser uma versão revisada da ameaça ExobotCompact. Essa mudança de marca pode ter sido feita por cibercriminosos, como uma tentativa de apresentar as novas variantes como novas criações ameaçadoras e distanciá-las do fato de que o código-fonte do Exobot vazou.

Aplicativos como Chamariz

A ameaça Octo foi distribuída por meio de aplicativos corrompidos que atuam como droppers. Alguns dos aplicativos ficaram disponíveis por um tempo na Google Play Store, onde conseguiram acumular mais de 50 mil downloads. Os operadores da Octo também empregaram sites e páginas enganosas que baixavam os aplicativos nos dispositivos da vítima, sob o pretexto de atualizações do navegador. Os aplicativos desonestos estavam se passando por instaladores de aplicativos, gravadores de tela e aplicativos financeiros. Alguns dos aplicativos identificados que entregam a ameaça Octo incluem Pocket Screencaster (com.moh.screen), Fast Cleaner 2021 (vizeeva.fast.cleaner), Postbank Security (com.carbuildz), BAWAG PSK Security (com.frontwonder2), Play Store instalação do aplicativo (com.theseeye5), etc.

Capacidades Ameaçadoras

Os usuários serão solicitados a conceder permissões de Serviços de Acessibilidade aos programas fraudulentos. Outro serviço legítimo explorado pela Octo é a API MediaProjection do Android. Ele permite que a ameaça capture o conteúdo da tela do dispositivo em tempo real. Na prática, isso significa que o Octo pode realizar fraudes no dispositivo (ODF) automaticamente sem entrada manual de seus operadores. A ameaça pode realizar ataques de sobreposição contra vários aplicativos financeiros e bancários para obter as credenciais de login do usuário. O Octo também pode estabelecer rotinas de keylogging, coletar informações de contato, obter controle remoto sobre o dispositivo e muito mais. A ameaça também está equipada com técnicas de evasão para dificultar a detecção e mecanismos de persistência para garantir sua presença prolongada nos dispositivos comprometidos.