Este nuevo malware para Android puede controlar tu dispositivo de forma remota
Un nuevo malware bancario para Android llamado Octo ha aparecido en el entorno. Octo tiene capacidades de acceso remoto que permiten a los operadores maliciosos realizar fraudes en el dispositivo (on-device fraud).
Adem谩s, Octo es un malware para Android evolucionado basado en ExoCompact, una variante de malware basada en el troyano Exo que abandon贸 el espacio del ciberdelito y su c贸digo fuente se filtr贸 en 2018.
La nueva variante ha sido descubierta por investigadores de ThreatFabric. Los investigadores observaron a varios usuarios que buscaban comprarlo en foros de la darknet.
Capacidades de fraude en el dispositivo
La nueva caracter铆stica significativa de Octo en comparaci贸n con ExoCompact es un m贸dulo de acceso remoto avanzado. Este m贸dulo permite a los atacantes realizar fraudes en el dispositivo (ODF) controlando de forma remota el dispositivo Android comprometido.
El acceso remoto se proporciona a trav茅s de un m贸dulo de transmisi贸n de pantalla en vivo (actualizado cada segundo) a trav茅s de MediaProjection de Android y acciones remotas a trav茅s del Servicio de Accesibilidad.
Octo usa una superposici贸n de pantalla negra para ocultar las operaciones remotas de la v铆ctima. Asimismo, establece el brillo de la pantalla en cero y desactiva todas las notificaciones activando el modo “sin interrupci贸n”.
Al hacer que el dispositivo parezca estar apagado, el malware puede realizar varias tareas sin que la v铆ctima lo sepa. Estas tareas incluyen toques de pantalla, se帽ales, escritura de texto, modificaci贸n del portapapeles, pegado de datos y desplazamiento hacia arriba y hacia abajo.
Adem谩s del sistema de acceso remoto, Octo tambi茅n cuenta con un potente registrador de teclas (keylogger) El keylogger puede monitorear y capturar todas las acciones de las v铆ctimas en los dispositivos Android infectados.
Esto incluye PIN ingresados, sitios web abiertos, clics y elementos en los que se hizo clic, eventos de cambio de enfoque y eventos de cambio de texto.
Finalmente, Octo admite una extensa lista de comandos, siendo los m谩s importantes los siguientes:
- Bloquear notificaciones autom谩ticas de aplicaciones espec铆ficas
- Habilitar interceptaci贸n de SMS
- Deshabilitar el sonido y bloquear temporalmente la pantalla del dispositivo
- Iniciar una aplicaci贸n espec铆fica
- Iniciar/detener sesi贸n de acceso remoto
- Actualizar lista de Comando y control
- Abrir URL especificada
- Enviar SMSs con texto espec铆fico a un n煤mero de tel茅fono espec铆fico
Campa帽as y atribuci贸n
Octo se est谩 vendiendo en foros, como el foro de hacking XSS de habla rusa, por un ciberdelincuente que usa el alias “Architect” o”goodluck.”
Cabe destacar que, si bien la mayor铆a de las publicaciones en XSS est谩n en ruso, casi todas las publicaciones entre Octo y los suscriptores potenciales se han escrito en ingl茅s.
Debido a las amplias similitudes con ExoCompact, incluido el 茅xito de la publicaci贸n en Google Play, la funci贸n de desactivaci贸n de Google Protect y el sistema de protecci贸n de ingenier铆a inversa, ThreatFabric cree que existe una buena posibilidad de que “Architect” sea el mismo autor o un nuevo propietario del c贸digo fuente de ExoCompact.
ExoCompact tambi茅n cuenta con un m贸dulo de acceso remoto, aunque m谩s simple. No obstante, tambi茅n ofrece opciones de retraso en la ejecuci贸n de comandos y tiene un panel de administraci贸n similar al de Octo.
“Por lo tanto, teniendo en cuenta estos hechos, concluimos que ExobotCompact fue renombrado como el troyano bancario para Android Octo. Adem谩s, creemos que es alquilado por su propietario “Architect”, tambi茅n conocido como “goodluck”. ThreatFabric ha identificado esta variante como ExobotCompact.D”.
Informe de Threat Fabric
Las aplicaciones recientes de Google Play que infectaron dispositivos con Octo incluyen una aplicaci贸n llamada “Fast Cleaner”. Fast Cleaner logr贸 50,000 instalaciones hasta febrero de 2022, cuando fue descubierta y eliminada.
Otras campa帽as de Octo se basaron en sitios que usaban avisos falsos de actualizaci贸n del navegador o advertencias falsas de actualizaci贸n de aplicaciones de la Play Store.
Aplicaciones infectadas
Algunos operadores de Octo lograron infiltrarse nuevamente en la Play Store despu茅s de que Fast Cleaner fue eliminada. Ellos utilizaron una aplicaci贸n llamada “Pocket Screencaster”.
La lista completa de aplicaciones de Android conocidas que contienen el malware Octo te las mostramos a continuaci贸n:
- Pocket Screencaster (com.moh.screen)
- Fast Cleaner 2021 (vizeeva.fast.cleaner)
- Play Store (com.restthe71)
- Postbank Security (com.carbuildz)
- Pocket Screencaster (com.cutthousandjs)
- BAWAG PSK Security (com.frontwonder2)
Una nueva variante peligrosa
Los troyanos con m贸dulos de acceso remoto son cada vez m谩s comunes. Esto hace que los pasos s贸lidos de protecci贸n de la cuenta, como los c贸digos de dos factores, queden obsoletos, ya que el atacante controla completamente el dispositivo y las cuentas en las que ha iniciado sesi贸n.
Todo lo que el usuario ve en la pantalla de su dispositivo queda al alcance de estas variantes de malware. Por lo tanto, despu茅s de la infecci贸n, ninguna informaci贸n est谩 segura y ninguna medida de protecci贸n es efectiva.
Dicho esto, los usuarios deben permanecer atentos, mantener al m铆nimo la cantidad de aplicaciones instaladas en sus tel茅fonos inteligentes y verificar regularmente que Play Protect est茅 habilitado.
Muy importante lo que haces hermano.