A finales del pasado año, desde la firma de ciberseguridad holandesa ThreatFabric aseguraron que más de 300.000 usuarios de smartphones Android podrían haber instalado troyanos bancarios en sus dispositivos, tras ser víctimas de cuatro familias de malware – Anasta, Alien, Hydra y Ermac – que consiguieron superar la detección de Google Play Store. Ahora, ThreatFabric ha descubierto una nueva variedad de malware bancario para Android que también se ha distribuido a través de varias aplicaciones maliciosas de la tienda de Google, las cuales acumulan más de 50.000 descargas y se dirigían a organizaciones financieras de todo el mundo.
Este nuevo malware bancario es conocido como Octo y los investigadores de ThreatFabric también han podido establecer que es una versión de otro malware de Android llamado ExobotCompact, que, a su vez, ha evolucionado a partir de Exobot.
"Observado por primera vez en 2016, y basado en el código fuente del troyano bancario Marcher, Exobot se mantuvo activo hasta 2018 dirigiéndose a instituciones financieras con una variedad de campañas centradas en Turquía, Francia y Alemania, así como en Australia, Tailandia y Japón", explica la compañía de ciberseguridad en el informe que ha publicado para compartir los hallazgos de su investigación, y añade:
"Posteriormente, se introdujo una versión 'lite', llamada ExobotCompact por su autor, el actor de amenazas conocido como 'android' en los foros de la 'dark web' (…).El 23 de enero de 2022, los analistas de ThreatFabric detectaron una publicación en uno de los foros de darknet, en la que un miembro buscaba la botnet Octo Android. Un análisis posterior, como se mostrará en este blog, descubrió una conexión directa entre Octo y ExobotCompact: de hecho, ExobotCompact se actualizó con varias funciones y se renombró como Octo".
Así es Octo
Según la investigación, Octo conserva varias características de ExobotCompact, como las medidas para evitar la ingeniería inversa del malware, la codificación que utiliza para pasar desapercibido en Google Play Store, como si se tratase de una aplicación normal, y el truco con el que consigue deshabilitar Google Protect una vez que se ha descargado. No obstante, la gran novedad de Octo con respecto a ExbobotCompact es que cuenta con capacidad de acceso remoto, lo que permite a los atacantes poder realizar fraudes en los dispositivos Android, controlándolos a distancia.
Octo obtiene el acceso remoto a través de dos servicios que forman parte de dicho sistema operativo: MediaProjection, que utiliza para transmitir la pantalla en directo por streaming, y AccesibilityService, que le sirve para realizar acciones de forma remota.
Además, este nuevo malware usa una superposición de pantalla negra para ocultar las operaciones que realiza en remoto y deshabilita las notificaciones. Esto le ayuda a no despertar sospechas entre las víctimas ya que básicamente parece que el teléfono está inactivo o apagado, mientras que el malware puede realizar una serie de tareas sin que el usuario tenga conocimiento de ellas, como puede ser explorar datos o utilizar aplicaciones.
"Sus capacidades no solo ponen en riesgo las aplicaciones explícitamente dirigidas que son objeto de un ataque de superposición, sino que cualquier aplicación instalada en el dispositivo infectado como ExobotCompact/Octo puede leer el contenido de cualquier aplicación que se muestra en la pantalla y proporcionar al actor suficiente información para interactuar de forma remota con él y realizar fraude en el dispositivo (ODF)", advierte ThreatFabric.
Siguiendo siempre su información, otras características notables de Octo incluyen un sistema que registra los movimientos de las teclas y monitoriza todas las acciones que realizan sus víctimas en sus teléfonos móviles, así como la realización de ataques de superposición en aplicaciones bancarias para capturar credenciales, la recolección de información de contactos y medidas para evitar su desinstalación y evadir los motores antivirus.
Por otra parte, entre los comandos a los que tiene acceso una vez ha infectado los dispositivos Android, destacan el bloqueo de notificaciones automáticas de aplicaciones específicos, el envío de SMS o el bloqueo de la pantalla del dispositivo.
Finalmente, cabe destacar que ThreatFabric apunta que hay más de cinco actores diferentes detrás de Octo y que ha sido detectado en las siguientes aplicaciones:
- Fast Cleaner 2021 (vizeeva.fast.cleaner)
- Pocket Screencaster (com.moh.screen)
- Play Store (com.restthe71)
- Postbank Security (com.carbuildz)
- Pocket Screencaster (com.cutthousandjs)
- BAWAG PSK Security (com.frontwonder2)
- Play Store app install (com.theseeye5)