Octo Banking Trojan

Los investigadores de ciberseguridad pudieron detectar los rastros de otro potente troyano bancario para Android. La amenaza se ha rastreado como Octo y, según el análisis realizado por los investigadores de malware, forma parte de una familia de malware móvil conocida como Exobot. Más específicamente, Octo parece ser una versión revisada de la amenaza ExobotCompact. Este cambio de marca puede haber sido realizado por ciberdelincuentes, como un intento de presentar las nuevas variantes como nuevas creaciones amenazantes y distanciarlas del hecho de que se filtró el código fuente de Exobot.

Aplicaciones de señuelo

La amenaza Octo se distribuyó a través de aplicaciones corruptas que actúan como cuentagotas. Algunas de las aplicaciones estuvieron disponibles por un tiempo en Google Play Store, donde lograron acumular más de 50 mil descargas. Los operadores de Octo también emplearon sitios web engañosos y páginas de destino que descargaron las aplicaciones en los dispositivos de la víctima, bajo la apariencia de actualizaciones del navegador. Las aplicaciones no autorizadas se hacían pasar por instaladores de aplicaciones, grabadores de pantalla y aplicaciones financieras. Algunas de las aplicaciones identificadas que ofrecen la amenaza Octo incluyen Pocket Screencaster (com.moh.screen), Fast Cleaner 2021 (vizeeva.fast.cleaner), Postbank Security (com.carbuildz), BAWAG PSK Security (com.frontwonder2), Play Store instalación de la aplicación (com.theseeye5), etc.

Capacidades amenazantes

Se pedirá a los usuarios que concedan permisos de Servicios de Accesibilidad a los programas fraudulentos. Otro servicio legítimo explotado por Octo es la API MediaProjection de Android. Permite que la amenaza capture el contenido de la pantalla del dispositivo en tiempo real. En la práctica, esto significa que Octo puede realizar fraude en el dispositivo (ODF) automáticamente sin intervención manual de sus operadores. La amenaza puede realizar ataques superpuestos contra múltiples aplicaciones financieras y bancarias para obtener las credenciales de inicio de sesión del usuario. Octo también puede establecer rutinas de registro de teclas, recolectar información de contacto, obtener control remoto sobre el dispositivo y más. La amenaza también está equipada con técnicas de evasión para dificultar la detección y mecanismos de persistencia para asegurar su presencia prolongada en los dispositivos comprometidos.