24 de septiembre de 2024Ravie LakshmananSeguridad móvil / CiberdelitoLos investigadores de ciberseguridad han descubierto una nueva versión de un troyano bancario para Android llamado Octo que viene con capacidades mejoradas para realizar apropiaciones de dispositivos (DTO) y realizar transacciones fraudulentas. La nueva versión ha sido bautizada como Octo2 por el autor del malware, dijo la firma de seguridad holandesa ThreatFabric en un informe compartido con The Hacker News, y agregó que se han detectado campañas que distribuyen el malware en países europeos como Italia, Polonia, Moldavia y Hungría. «Los desarrolladores de malware tomaron medidas para aumentar la estabilidad de las capacidades de acciones remotas necesarias para los ataques de apropiación de dispositivos», dijo la compañía. Algunas de las aplicaciones maliciosas que contienen Octo2 se enumeran a continuación: Europe Enterprise (com.xsusb_restore3) Google Chrome (com.havirtual06numberresources) NordVPN (com.handedfastee5) Octo fue detectado por primera vez por la empresa a principios de 2022, describiéndolo como el trabajo de un actor de amenazas que utiliza los alias en línea Architect y goodluck. Se ha evaluado como un «descendiente directo» del malware Exobot detectado originalmente en 2016, que también generó otra variante denominada Coper en 2021. «Basado en el código fuente del troyano bancario Marcher, Exobot se mantuvo hasta 2018 apuntando a instituciones financieras con una variedad de campañas centradas en Turquía, Francia y Alemania, así como en Australia, Tailandia y Japón», señaló ThreatFabric en ese momento. «Posteriormente, se introdujo una versión ‘lite’, llamada ExobotCompact por su autor, el actor de amenazas conocido como ‘android’ en los foros de la web oscura». Se dice que la aparición de Octo2 se debió principalmente a la filtración del código fuente de Octo a principios de este año, lo que llevó a otros actores de amenazas a generar múltiples variantes del malware. Otro avance importante es la transición de Octo a una operación de malware como servicio (MaaS), según Team Cymru, lo que permite al desarrollador monetizar el malware ofreciéndolo a los cibercriminales que buscan llevar a cabo operaciones de robo de información. «Al promocionar la actualización, el propietario de Octo anunció que Octo2 estará disponible para los usuarios de Octo1 al mismo precio con acceso anticipado», dijo ThreatFabric. «Podemos esperar que los actores que operaban Octo1 cambien a Octo2, lo que lo llevará al panorama de amenazas global». Una de las mejoras significativas de Octo2 es la introducción de un algoritmo de generación de dominios (DGA) para crear el nombre del servidor de comando y control (C2), así como para mejorar su estabilidad general y sus técnicas antianálisis. Las aplicaciones Android maliciosas que distribuyen el malware se crean utilizando un conocido servicio de vinculación de APK llamado Zombinder, que permite troyanizar aplicaciones legítimas para que recuperen el malware real (en este caso, Octo2) bajo el pretexto de instalar un «complemento necesario». «Con el código fuente del malware Octo original ya filtrado y fácilmente accesible para varios actores de amenazas, Octo2 se basa en esta base con capacidades de acceso remoto aún más sólidas y técnicas de ofuscación sofisticadas», dijo ThreatFabric. «La capacidad de esta variante para realizar fraudes en el dispositivo de manera invisible e interceptar datos confidenciales, junto con la facilidad con la que puede ser personalizada por diferentes actores de amenazas, aumenta las apuestas para los usuarios de banca móvil a nivel mundial». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.