24 de septiembre de 2024Ravie LakshmananSeguridad móvil / Delitos cibernéticos
Investigadores de ciberseguridad han descubierto una nueva versión de un troyano bancario de Android llamado Octo que tiene capacidades mejoradas para realizar toma de control de dispositivos (DTO) y realizar transacciones fraudulentas.
En un informe compartido con The Hacker News, la firma de seguridad holandesa ThreatFabric dijo que los creadores del malware llamaron a la nueva versión con el nombre en código Octo2, y que las campañas que distribuyen el malware se han extendido a Italia, Polonia, Moldavia, Hungría y otros países. ha sido confirmado en varios países europeos.
“Los desarrolladores de malware han tomado medidas para mejorar la estabilidad de las capacidades de control remoto necesarias para los ataques de toma de control de dispositivos”, dijo la compañía.
Algunas de las aplicaciones maliciosas, incluido Octo2, se enumeran a continuación.
Empresa europea (com.xsusb_restore3) Google Chrome (com.havirtual06numberresources) NordVPN (com.handedfastee5)
La compañía señaló por primera vez a Octo a principios de 2022 y lo describió como el trabajo de un actor de amenazas que utilizaba los alias en línea Architect y goodluck. Se considera un “descendiente directo” del malware Exobot, que se detectó por primera vez en 2016 y también generó otra variante llamada Coper en 2021.
“Basado en el código fuente del troyano bancario Marcher, Exobot se mantuvo hasta 2018 y se dirigió a instituciones financieras en varias campañas centradas en Turquía, Francia, Alemania, Australia, Tailandia y Japón”, señaló ThreatFabric en ese momento.
“La versión 'lite' fue llamada ExobotCompact por su creador, un actor de amenazas conocido como 'android' en los foros de la web oscura. “
Se dice que la aparición de Octo2 se debe en gran medida a la filtración del código fuente de Octo a principios de este año, lo que llevó a otros actores de amenazas a crear múltiples variantes del malware.
Otro avance importante, según Team Cymru, es el paso de Octo a operaciones de malware como servicio (MaaS). Esto permite a los desarrolladores monetizar su malware proporcionándolo a los ciberdelincuentes que buscan llevar a cabo operaciones de robo de información.
“Al promocionar la actualización, los propietarios de Octo anunciaron que Octo2 estaría disponible en acceso temprano para los usuarios de Octo1 al mismo precio”, dijo ThreatFabric. “Esperamos que los actores que operan Octo1 cambien a Octo2, llevando a Octo2 al ámbito de las amenazas globales”.
Una de las mejoras clave en Octo2 es la introducción del algoritmo de generación de dominio (DGA) para crear nombres de servidores de comando y control (C2), así como mejoras en la estabilidad general y las técnicas antianálisis.
Las aplicaciones maliciosas de Android que distribuyen malware se crean utilizando un conocido servicio de enlace de APK llamado Zombinder, que troyaniza aplicaciones legítimas y las engaña para que instalen “complementos necesarios”. Es posible obtener malware real (en este caso Octo2) disfrazado de .
“El código fuente del malware Octo original ya se ha filtrado y es fácilmente accesible para una variedad de actores de amenazas, pero Octo2 se basa en esta base incorporando capacidades de acceso remoto aún más potentes y técnicas de ofuscación sofisticadas”, dijo ThreatFabric.
“Esta variante tiene la capacidad de realizar de manera invisible actividades fraudulentas en dispositivos e interceptar datos confidenciales, y también es fácilmente personalizable por varios actores de amenazas, lo que la convierte en una amenaza atractiva para los usuarios de banca móvil en todo el mundo. “El riesgo está aumentando”.
¿Te pareció interesante este artículo? sígueme Gorjeo Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.
https://thehackernews.com/2024/09/new-octo2-android-banking-trojan.html
