Troyano bancario Octo2

Los expertos en ciberseguridad han identificado una variante actualizada del troyano bancario para Android conocido como Octo. Esta variante ahora está mejorada con funciones avanzadas para facilitar la apropiación indebida de dispositivos (DTO) y permitir transacciones fraudulentas.

Esta nueva versión, a la que sus creadores denominaron Octo2, se ha distribuido en campañas engañosas en países europeos como Italia, Polonia, Moldavia y Hungría. Los desarrolladores han trabajado para mejorar la estabilidad de las acciones remotas necesarias para que los ataques de robo de dispositivos tengan éxito.

La aparición del malware Octo Mobile

Octo fue identificado inicialmente por investigadores a principios de 2022 y se atribuye a un actor de amenazas conocido por los alias en línea Architect y goodluck. Se lo ha evaluado como un "descendiente directo" del malware Exobot , que se detectó por primera vez en 2016 y luego dio lugar a otra variante llamada Coper en 2021.

Exobot , desarrollado a partir del código fuente del troyano bancario Marcher , se mantuvo en activo hasta 2018, y atacó a instituciones financieras a través de varias campañas, principalmente en Turquía, Francia, Alemania, así como en Australia, Tailandia y Japón. Después de esto, el actor de amenazas al que se hace referencia como "android" en los foros de la dark web lanzó una versión optimizada conocida como ExobotCompact.

Aplicaciones que llevan el troyano bancario Octo2

Varias aplicaciones dañinas asociadas con Octo2 incluyen Europe Enterprise (com.xsusb_restore3), Google Chrome (com.havirtual06numberresources) y NordVPN (com.handedfastee5).

Estas aplicaciones Android maliciosas, que distribuyen el malware, utilizan un conocido servicio de vinculación de APK llamado Zombinder. Este servicio permite troyanizar aplicaciones legítimas, lo que les permite descargar el malware real (en este caso, Octo2) con el pretexto de instalar un "complemento necesario".

Actualmente, no hay evidencia que sugiera que Octo2 se esté propagando a través de Google Play Store, lo que implica que los usuarios están descargando estas aplicaciones de fuentes no confiables o siendo engañados para instalarlas a través de tácticas de ingeniería social.

Con el código fuente del malware Octo original ya filtrado y fácilmente disponible para varios actores de amenazas, Octo2 mejora esta base con capacidades de acceso remoto aún más sólidas y técnicas de ofuscación avanzadas.

Octo2 está equipado con capacidades de amenaza ampliadas

Otro avance significativo es la evolución de Octo hacia un modelo de malware como servicio (MaaS), según Team Cymru. Este cambio permite al desarrollador obtener beneficios al proporcionar el malware a los cibercriminales que buscan realizar operaciones de robo de información.

Al promocionar la actualización, el propietario de Octo anunció que Octo2 estaría disponible para los usuarios existentes de Octo1 al mismo precio con opciones de acceso anticipado. Los investigadores de Infosec anticipan que aquellos que anteriormente usaban Octo1 pasarán a Octo2, aumentando así su presencia en el panorama de amenazas global.

Una de las mejoras clave en Octo2 es la implementación de un algoritmo de generación de dominio (DGA) para generar los nombres de servidores de comando y control (C2), junto con mejoras en la estabilidad general y técnicas antianálisis.

El uso de un sistema C2 basado en DGA proporciona una ventaja significativa, ya que permite a los actores de amenazas cambiar rápidamente a nuevos servidores C2, lo que disminuye la eficacia de las listas de bloqueo de nombres de dominio y mejora la resiliencia contra posibles esfuerzos de eliminación.

La capacidad de esta variante de ejecutar fraudes en el dispositivo sin ser detectado y capturar información confidencial, combinada con su sencilla personalización para diversos actores de amenazas, eleva el riesgo para los usuarios de banca móvil en todo el mundo.