Octo2 ataca con malware a Android para robar credenciales bancarias


El panorama de las amenazas móviles se está volviendo cada vez más peligroso tras un aumento significativo de los ciberataques, que aumentaron un 350 % en 2023, en gran parte debido al cambio al trabajo remoto.

Los dispositivos móviles son ahora objetivos principales para una variedad de amenazas, incluido el phishing móvil, el malware y las aplicaciones maliciosas que explotan las vulnerabilidades en las principales plataformas, como iOS y Android.

Los investigadores de ciberseguridad de Threat Fabric descubrieron recientemente el malware Octo2 para Android que ataca a los usuarios y roba credenciales bancarias.

El malware de Android ataca a los usuarios del banco

El panorama de la seguridad cibernética ha cambiado con la aparición de una nueva variante de la familia de malware Octo (antes conocida como “ExobotCompact”), denominada “Octo2”.

Seminario web gratuito sobre cómo proteger su pequeña empresa de las ciberamenazas avanzadas -> Registro gratuito

Es un troyano bancario derivado principalmente del linaje 'Exobot' y ha evolucionado significativamente desde que apareció por primera vez en 2016.

De Exobot a Octo2 (Fuente – Threat Fabric)

Este malware, “Octo2”, ha fortalecido significativamente su funcionalidad de control remoto, que es esencial para ataques de “secuestro de dispositivos”, y emplea “técnicas de ofuscación” avanzadas.

Inicialmente se confirmó que estaba dirigido a Italia, Polonia, Moldavia y Hungría. Además de esto, el malware Octo2 se disfraza de aplicaciones populares como Google Chrome y NordVPN.

Campaña Octo2 (Fuente: Threat Fabric)

Según el análisis de Threat Fabric, el malware utiliza Zombinder como cargador de primera etapa para eludir las restricciones de seguridad en Android 13 y versiones posteriores.

El malware intercepta “notificaciones automáticas” de aplicaciones específicas y puede verse que se centra principalmente en servicios bancarios y financieros.

Octo2 ofrece varias funciones avanzadas, como “ataques de superposición” para robo de credenciales y “control de llamadas, SMS y notificaciones”.

Los expertos en seguridad dicen que el modelo Malware-as-a-Service de Octo2 y la reciente filtración del código fuente de su predecesor significan que Octo2 se está extendiendo rápidamente a nivel mundial y representa una gran amenaza para los usuarios de banca móvil en todo el mundo.

Octo2: nuevas funciones y mejoras

A continuación describimos todas las nuevas funciones y mejoras que Octo2 tiene para ofrecer.

Estabilidad de RAT mejorada, técnicas mejoradas de antianálisis y antidetección, comunicación con C2, algoritmo de generación de dominio (DGA)

La nueva variante, Octo2, se basa en su predecesor Octo, cuyo código fuente se filtró, y proporciona una funcionalidad mejorada.

Además de los “ataques de secuestro de dispositivos”, también empleamos sesiones de control remoto avanzadas que son más “estables” y “complejas de detectar”.

No solo eso, esta nueva variante también incorpora técnicas mejoradas de antidetección y antianálisis.

El objetivo principal de este malware es atacar aplicaciones de banca móvil para realizar “fraude en el dispositivo” y robar datos confidenciales sin ser detectado.

Es modular para una fácil personalización, lo que permite a los actores de amenazas personalizarlo según sus necesidades y requisitos. Esta evolución del malware móvil resalta la necesidad de que los usuarios y las instituciones financieras permanezcan en alerta máxima.

Analice enlaces sospechosos utilizando la nueva herramienta de Navegación Segura de ANY.RUN. Pruébalo gratis.

Octo2 Android Malware Attacking Users To Steal Banking Credentials