Pesquisadores especializados em cibersegurança descobriram uma nova versão de um trojan bancário para Android chamada Octo, que vem com capacidades aprimoradas para realizar a aquisição de dispositivos (DTO) e efetuar transações fraudulentas.
A nova versão foi apelidada de Octo2 pelo autor do malware, disse a empresa holandesa de segurança ThreatFabric em um relatório compartilhado, acrescentando que campanhas distribuindo o malware foram avistadas em países europeus como Itália, Polônia, Moldávia e Hungria.
"Os desenvolvedores do malware tomaram medidas para aumentar a estabilidade das capacidades de ações remotas necessárias para ataques de Device Takeover," disse a empresa.
Algumas das apps maliciosas que contêm Octo2 estão listadas abaixo:
Europe Enterprise (com.xsusb_restore3)
Google Chrome (com.havirtual06numberresources)
NordVPN (com.handedfastee5)
Octo foi identificado pela primeira vez pela empresa no início de 2022, descrito como o trabalho de um ator de ameaça que usa os aliases online Architect e goodluck.
Foi avaliado como um "descendente direto" do malware Exobot originalmente detectado em 2016, que também gerou outra variante chamada Coper em 2021.
"Baseado no código fonte do trojan bancário Marcher, o Exobot foi mantido até 2018, visando instituições financeiras com uma variedade de campanhas focadas na Turquia, França e Alemanha, bem como Austrália, Tailândia e Japão," destacou a ThreatFabric na época.
Posteriormente, uma versão 'lite' dele foi introduzida, nomeada ExobotCompact pelo seu autor, o ator de ameaça conhecido como 'android' em fóruns da dark-web.
Acredita-se que o surgimento do Octo2 foi principalmente impulsionado pelo vazamento do código fonte do Octo no início deste ano, levando outros atores de ameaças a criar múltiplas variantes do malware.
Outro desenvolvimento importante é a transição do Octo para uma operação de malware-como-serviço (MaaS), conforme a Team Cymru, permitindo que o desenvolvedor monetize o malware oferecendo-o a cibercriminosos que procuram realizar operações de roubo de informações.
"Ao promover a atualização, o proprietário do Octo anunciou que o Octo2 estará disponível para os usuários do Octo1 pelo mesmo preço com acesso antecipado," disse a ThreatFabric.
Podemos esperar que os atores que estavam operando o Octo1 migrem para o Octo2, trazendo-o assim para o cenário global de ameaças.
Uma das melhorias significativas do Octo2 é a introdução de um Algoritmo de Geração de Domínio (DGA) para criar o nome do servidor de comando e controle (C2), bem como melhorar sua estabilidade geral e técnicas anti-análise.
As apps Android fraudulentas distribuindo o malware são criadas usando um serviço de vinculação APK conhecido como Zombinder, que torna possível trojanizar aplicativos legítimos de tal forma que eles recuperem o malware real (neste caso, Octo2) sob o pretexto de instalar um "plugin necessário".
"Com o código fonte do malware Octo original já vazado e facilmente acessível a vários atores de ameaças, o Octo2 se baseia nesta fundação com capacidades ainda mais robustas de acesso remoto e técnicas sofisticadas de ofuscação," disse a ThreatFabric.
A capacidade desta variante de realizar fraudes invisíveis no dispositivo e interceptar dados sensíveis, juntamente com a facilidade com que pode ser personalizada por diferentes atores de ameaças, aumenta os riscos para os usuários de bancos móveis globalmente.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...