Este nuevo malware para Android puede controlar tu dispositivo de forma remota
Un nuevo malware bancario para Android llamado Octo ha aparecido en el entorno. Octo tiene capacidades de acceso remoto que permiten a los operadores maliciosos realizar fraudes en el dispositivo (on-device fraud).
Además, Octo es un malware para Android evolucionado basado en ExoCompact, una variante de malware basada en el troyano Exo que abandonó el espacio del ciberdelito y su código fuente se filtró en 2018.
La nueva variante ha sido descubierta por investigadores de ThreatFabric. Los investigadores observaron a varios usuarios que buscaban comprarlo en foros de la darknet.
Capacidades de fraude en el dispositivo
La nueva característica significativa de Octo en comparación con ExoCompact es un módulo de acceso remoto avanzado. Este módulo permite a los atacantes realizar fraudes en el dispositivo (ODF) controlando de forma remota el dispositivo Android comprometido.
El acceso remoto se proporciona a través de un módulo de transmisión de pantalla en vivo (actualizado cada segundo) a través de MediaProjection de Android y acciones remotas a través del Servicio de Accesibilidad.
Octo usa una superposición de pantalla negra para ocultar las operaciones remotas de la víctima. Asimismo, establece el brillo de la pantalla en cero y desactiva todas las notificaciones activando el modo “sin interrupción”.
Al hacer que el dispositivo parezca estar apagado, el malware puede realizar varias tareas sin que la víctima lo sepa. Estas tareas incluyen toques de pantalla, señales, escritura de texto, modificación del portapapeles, pegado de datos y desplazamiento hacia arriba y hacia abajo.
Además del sistema de acceso remoto, Octo también cuenta con un potente registrador de teclas (keylogger) El keylogger puede monitorear y capturar todas las acciones de las víctimas en los dispositivos Android infectados.
Esto incluye PIN ingresados, sitios web abiertos, clics y elementos en los que se hizo clic, eventos de cambio de enfoque y eventos de cambio de texto.
Finalmente, Octo admite una extensa lista de comandos, siendo los más importantes los siguientes:
- Bloquear notificaciones automáticas de aplicaciones específicas
- Habilitar interceptación de SMS
- Deshabilitar el sonido y bloquear temporalmente la pantalla del dispositivo
- Iniciar una aplicación específica
- Iniciar/detener sesión de acceso remoto
- Actualizar lista de Comando y control
- Abrir URL especificada
- Enviar SMSs con texto específico a un número de teléfono específico
Campañas y atribución
Octo se está vendiendo en foros, como el foro de hacking XSS de habla rusa, por un ciberdelincuente que usa el alias “Architect” o”goodluck.”
Cabe destacar que, si bien la mayoría de las publicaciones en XSS están en ruso, casi todas las publicaciones entre Octo y los suscriptores potenciales se han escrito en inglés.
Debido a las amplias similitudes con ExoCompact, incluido el éxito de la publicación en Google Play, la función de desactivación de Google Protect y el sistema de protección de ingeniería inversa, ThreatFabric cree que existe una buena posibilidad de que “Architect” sea el mismo autor o un nuevo propietario del código fuente de ExoCompact.
ExoCompact también cuenta con un módulo de acceso remoto, aunque más simple. No obstante, también ofrece opciones de retraso en la ejecución de comandos y tiene un panel de administración similar al de Octo.
“Por lo tanto, teniendo en cuenta estos hechos, concluimos que ExobotCompact fue renombrado como el troyano bancario para Android Octo. Además, creemos que es alquilado por su propietario “Architect”, también conocido como “goodluck”. ThreatFabric ha identificado esta variante como ExobotCompact.D”.
Informe de Threat Fabric
Las aplicaciones recientes de Google Play que infectaron dispositivos con Octo incluyen una aplicación llamada “Fast Cleaner”. Fast Cleaner logró 50,000 instalaciones hasta febrero de 2022, cuando fue descubierta y eliminada.
Otras campañas de Octo se basaron en sitios que usaban avisos falsos de actualización del navegador o advertencias falsas de actualización de aplicaciones de la Play Store.
Aplicaciones infectadas
Algunos operadores de Octo lograron infiltrarse nuevamente en la Play Store después de que Fast Cleaner fue eliminada. Ellos utilizaron una aplicación llamada “Pocket Screencaster”.
La lista completa de aplicaciones de Android conocidas que contienen el malware Octo te las mostramos a continuación:
- Pocket Screencaster (com.moh.screen)
- Fast Cleaner 2021 (vizeeva.fast.cleaner)
- Play Store (com.restthe71)
- Postbank Security (com.carbuildz)
- Pocket Screencaster (com.cutthousandjs)
- BAWAG PSK Security (com.frontwonder2)
Una nueva variante peligrosa
Los troyanos con módulos de acceso remoto son cada vez más comunes. Esto hace que los pasos sólidos de protección de la cuenta, como los códigos de dos factores, queden obsoletos, ya que el atacante controla completamente el dispositivo y las cuentas en las que ha iniciado sesión.
Todo lo que el usuario ve en la pantalla de su dispositivo queda al alcance de estas variantes de malware. Por lo tanto, después de la infección, ninguna información está segura y ninguna medida de protección es efectiva.
Dicho esto, los usuarios deben permanecer atentos, mantener al mínimo la cantidad de aplicaciones instaladas en sus teléfonos inteligentes y verificar regularmente que Play Protect esté habilitado.
Muy importante lo que haces hermano.