Ciberseguridad 360 | El malware Octo para Android se disfraza de NordVPN y Google Chrome

Una nueva versi�n del malware Octo para Android, llamada �Octo2�, se ha visto propag�ndose por Europa bajo la apariencia de NordVPN, Google Chrome y una app llamada Europe Enterprise.

La nueva variante, analizada por ThreatFabric, presenta una mayor estabilidad operativa, mecanismos antian�lisis y antidetecci�n m�s avanzados y un sistema de algoritmo de generaci�n de dominios (DGA) para comunicaciones de mando y control (C2) resistentes.

En definitiva, su aparici�n en la naturaleza confirma que el proyecto est� vivo y evoluciona a pesar de las turbulencias que atraves� recientemente.

Breve historia y evoluci�n

Octo es un troyano bancario para Android que evolucion� a partir de ExoCompact (2019-2021), que a su vez se basaba en el troyano ExoBot que se lanz� en 2016 y cuyo c�digo fuente se filtr� en l�nea en el verano de 2018.

ThreatFabric descubri� la primera versi�n de Octo en abril de 2022 en falsas aplicaciones de limpieza en Google Play. El informe de TF en ese momento destac� las capacidades de fraude en el dispositivo del malware que permit�an a sus operadores un amplio acceso a los datos de la v�ctima.

Entre otras cosas, Octo v1 permit�a el registro de pulsaciones de teclas, la navegaci�n en el dispositivo, la interceptaci�n de SMS y notificaciones push, el bloqueo de la pantalla del dispositivo, el silenciamiento del sonido, el inicio arbitrario de aplicaciones y el uso de dispositivos infectados para la distribuci�n de SMS.

ThreatFabric afirma que Octo se filtr� este a�o, lo que provoc� que aparecieran m�ltiples bifurcaciones del malware en la naturaleza, presumiblemente haciendo mella en las ventas del creador original, 'Architect'.

Tras estos acontecimientos, Architect anunci� Octo2, probablemente como un intento de lanzar una versi�n mejorada al mercado del malware y despertar el inter�s de los ciberdelincuentes. El creador del malware incluso anunci� un descuento especial para los clientes de Octo v1.

Cronolog�a del pulpo

Fuente: ThreatFabric

Operaciones de Octo2 en Europa

Las campa�as que actualmente despliegan Octo2 se centran en Italia, Polonia, Moldavia y Hungr�a. Sin embargo, dado que la plataforma Octo Malware-as-a-Service (MaaS) ha facilitado anteriormente ataques en todo el mundo, incluidos Estados Unidos, Canad�, Australia y Oriente Medio, es probable que pronto veamos campa�as de Octo2 en otras regiones.

En las operaciones europeas, los actores de la amenaza utilizan aplicaciones falsas de NordVPN y Google Chrome, as� como una aplicaci�n Europe Enterprise, que probablemente sea un se�uelo utilizado en ataques dirigidos.

Octo2 utiliza el servicio Zombider para a�adir la carga maliciosa en estos APKs, eludiendo las restricciones de seguridad de Android 13 (y posteriores).

Aplicaciones utilizadas en campa�as recientes de Octo2

Fuente: ThreatFabric

M�s estable, m�s evasivo, m�s capaz

Octo2 es m�s bien una actualizaci�n continua de la primera versi�n, que mejora el malware de forma incremental en lugar de implementar cambios revolucionarios o reescribir el c�digo desde cero.

En primer lugar, el autor del malware introdujo un nuevo ajuste de baja calidad en el m�dulo de la herramienta de acceso remoto (RAT) llamado �SHIT_QUALITY� que reduce las transmisiones de datos al m�nimo, permitiendo una conectividad m�s fiable cuando las velocidades de conexi�n a Internet son deficientes.

Octo2 tambi�n descifra su carga �til utilizando c�digo nativo y complica el an�lisis cargando din�micamente bibliotecas adicionales durante la ejecuci�n, lo que mejora a�n m�s su ya de por s� gran capacidad de evasi�n.

Por �ltimo, Octo2 introduce un sistema de dominio C2 basado en DGA que permite a los operadores actualizar y cambiar r�pidamente a nuevos servidores C2, haciendo ineficaces las listas de bloqueo y mejorando la resistencia frente a los intentos de desmantelamiento de los servidores.

ThreatFabric tambi�n se�ala que Octo2 recibe ahora una lista de aplicaciones de las que interceptar y bloquear notificaciones push, lo que permite a los operadores afinar el alcance de sus objetivos.

Octo2 no ha aparecido en Google Play, por lo que se cree que su distribuci�n se limita actualmente a tiendas de aplicaciones de terceros, que los usuarios de Android deber�an evitar.

Fuente: bleepingcomputer