Pesquisadores de segurança cibernética descobriram uma nova versão de um trojan bancário para Android chamado Octo, que vem com recursos aprimorados para realizar aquisição de dispositivo (DTO) e realizar transações fraudulentas.
A nova versão recebeu o codinome Outubro2 pelo autor do malware, a empresa de segurança holandesa ThreatFabric disse em um relatório compartilhado com o The Hacker Information, acrescentando que campanhas distribuindo o malware foram detectadas em países europeus como Itália, Polônia, Moldávia e Hungria.
“Os desenvolvedores de malware tomaram medidas para aumentar a estabilidade dos recursos de ações remotas necessárias para ataques de aquisição de dispositivos”, disse a empresa.
Alguns dos aplicativos maliciosos que contêm Octo2 estão listados abaixo –
- Europa Enterprise (com.xsusb_restore3)
- Google Chrome (com.havirtual06numberresources)
- NordVPN (com.handedfastee5)
Octo foi sinalizado pela primeira vez pela empresa no início de 2022, descrevendo-o como o trabalho de um agente de ameaças que atende pelos pseudônimos on-line Architect e goodluck. Ele foi avaliado como um “descendente direto” do malware Exobot detectado originalmente em 2016, que também gerou outra variante chamada Coper em 2021.
“Com base no código-fonte do Trojan bancário Marcher, o Exobot foi mantido até 2018, visando instituições financeiras com uma variedade de campanhas focadas na Turquia, França e Alemanha, bem como Austrália, Tailândia e Japão”, observou o ThreatFabric na época.
“Posteriormente, uma versão 'lite' dele foi introduzida, chamada ExobotCompact por seu autor, o agente de ameaças conhecido como 'android' nos fóruns da darkish net.”
Acredita-se que o surgimento do Octo2 tenha sido motivado principalmente pelo vazamento do código-fonte do Octo no início deste ano, levando outros agentes de ameaças a gerar diversas variantes do malware.
Outro grande desenvolvimento é a transição da Octo para uma operação de malware como serviço (MaaS), segundo a Crew Cymru, permitindo que o desenvolvedor monetize o malware oferecendo-o a criminosos cibernéticos que buscam realizar operações de roubo de informações.
“Ao promover a atualização, o proprietário do Octo anunciou que o Octo2 estará disponível para usuários do Octo1 pelo mesmo preço com acesso antecipado”, disse ThreatFabric. “Podemos esperar que os atores que estavam operando o Octo1 mudem para o Octo2, trazendo-o assim para o cenário de ameaças globais.”
Uma das melhorias significativas no Octo2 é a introdução de um Algoritmo de Geração de Domínio (DGA) para criar o nome do servidor de comando e controle (C2), além de melhorar sua estabilidade geral e técnicas antianálise.
O uso de um sistema C2 baseado em DGA tem uma vantagem inerente, pois permite que o agente da ameaça mude facilmente para novos servidores C2, tornando as listas de bloqueio de nomes de domínio ineficazes e melhorando a resiliência contra possíveis tentativas de remoção.
Os aplicativos Android maliciosos que distribuem o malware são criados usando um serviço conhecido de vinculação de APK chamado Zombinder, que torna possível trojanizar aplicativos legítimos para que eles recuperem o malware actual (nesse caso, o Octo2) sob o pretexto de instalar um “plugin necessário”.
Atualmente, não há evidências que sugiram que o Octo2 seja propagado pela Google Play Retailer, o que indica que os usuários provavelmente estão baixando-o de fontes não confiáveis ou sendo enganados para instalá-lo por meio de engenharia social.
“Com o código-fonte do malware Octo unique já vazado e facilmente acessível a vários agentes de ameaças, o Octo2 se baseia nessa base com recursos de acesso remoto ainda mais robustos e técnicas de ofuscação sofisticadas”, disse a ThreatFabric.
“A capacidade dessa variante de realizar fraudes invisíveis no dispositivo e interceptar dados confidenciais, juntamente com a facilidade com que pode ser personalizada por diferentes agentes de ameaças, aumenta as apostas para usuários de serviços bancários móveis em todo o mundo.”