Este nuevo malware para Android puede controlar tu dispositivo de forma remota

14 abril, 2022

Un nuevo malware bancario para Android llamado Octo ha aparecido en el entorno. Octo tiene capacidades de acceso remoto que permiten a los operadores maliciosos realizar fraudes en el dispositivo (on-device fraud).

Además, Octo es un malware para Android evolucionado basado en ExoCompact, una variante de malware basada en el troyano Exo que abandonó el espacio del ciberdelito y su código fuente se filtró en 2018.

La nueva variante ha sido descubierta por investigadores de ThreatFabric. Los investigadores observaron a varios usuarios que buscaban comprarlo en foros de la darknet.

Capacidades de fraude en el dispositivo

La nueva característica significativa de Octo en comparación con ExoCompact es un módulo de acceso remoto avanzado. Este módulo permite a los atacantes realizar fraudes en el dispositivo (ODF) controlando de forma remota el dispositivo Android comprometido.

El acceso remoto se proporciona a través de un módulo de transmisión de pantalla en vivo (actualizado cada segundo) a través de MediaProjection de Android y acciones remotas a través del Servicio de Accesibilidad.

Octo usa una superposición de pantalla negra para ocultar las operaciones remotas de la víctima. Asimismo, establece el brillo de la pantalla en cero y desactiva todas las notificaciones activando el modo “sin interrupción”.

Al hacer que el dispositivo parezca estar apagado, el malware puede realizar varias tareas sin que la víctima lo sepa. Estas tareas incluyen toques de pantalla, señales, escritura de texto, modificación del portapapeles, pegado de datos y desplazamiento hacia arriba y hacia abajo.

**El fraude en el dispositivo (*on-device fraud*)) permite la toma completa del dispositivo comprometido**

Además del sistema de acceso remoto, Octo también cuenta con un potente registrador de teclas (keylogger) El keylogger puede monitorear y capturar todas las acciones de las víctimas en los dispositivos Android infectados.

Esto incluye PIN ingresados, sitios web abiertos, clics y elementos en los que se hizo clic, eventos de cambio de enfoque y eventos de cambio de texto.

Finalmente, Octo admite una extensa lista de comandos, siendo los más importantes los siguientes:

Bloquear notificaciones automáticas de aplicaciones específicas
Habilitar interceptación de SMS
Deshabilitar el sonido y bloquear temporalmente la pantalla del dispositivo
Iniciar una aplicación específica
Iniciar/detener sesión de acceso remoto
Actualizar lista de Comando y control
Abrir URL especificada
Enviar SMSs con texto específico a un número de teléfono específico

Campañas y atribución

Octo se está vendiendo en foros, como el foro de hacking XSS de habla rusa, por un ciberdelincuente que usa el alias “Architect” o”goodluck.”

Cabe destacar que, si bien la mayoría de las publicaciones en XSS están en ruso, casi todas las publicaciones entre Octo y los suscriptores potenciales se han escrito en inglés.

Debido a las amplias similitudes con ExoCompact, incluido el éxito de la publicación en Google Play, la función de desactivación de Google Protect y el sistema de protección de ingeniería inversa, ThreatFabric cree que existe una buena posibilidad de que “Architect” sea el mismo autor o un nuevo propietario del código fuente de ExoCompact.

ExoCompact también cuenta con un módulo de acceso remoto, aunque más simple. No obstante, también ofrece opciones de retraso en la ejecución de comandos y tiene un panel de administración similar al de Octo.

“Por lo tanto, teniendo en cuenta estos hechos, concluimos que ExobotCompact fue renombrado como el troyano bancario para Android Octo. Además, creemos que es alquilado por su propietario “Architect”, también conocido como “goodluck”. ThreatFabric ha identificado esta variante como ExobotCompact.D”.
Informe de Threat Fabric

Las aplicaciones recientes de Google Play que infectaron dispositivos con Octo incluyen una aplicación llamada “Fast Cleaner”. Fast Cleaner logró 50,000 instalaciones hasta febrero de 2022, cuando fue descubierta y eliminada.

**La aplicación Fast Cleaner instalaba Octo a las víctimas**

Otras campañas de Octo se basaron en sitios que usaban avisos falsos de actualización del navegador o advertencias falsas de actualización de aplicaciones de la Play Store.

Aviso **falso** **de actualización de navegador que distribuía los instaladores de Octo**

Aplicaciones infectadas

Algunos operadores de Octo lograron infiltrarse nuevamente en la Play Store después de que Fast Cleaner fue eliminada. Ellos utilizaron una aplicación llamada “Pocket Screencaster”.

La lista completa de aplicaciones de Android conocidas que contienen el malware Octo te las mostramos a continuación:

Pocket Screencaster (com.moh.screen)
Fast Cleaner 2021 (vizeeva.fast.cleaner)
Play Store (com.restthe71)
Postbank Security (com.carbuildz)
Pocket Screencaster (com.cutthousandjs)
BAWAG PSK Security (com.frontwonder2)

Una nueva variante peligrosa

Los troyanos con módulos de acceso remoto son cada vez más comunes. Esto hace que los pasos sólidos de protección de la cuenta, como los códigos de dos factores, queden obsoletos, ya que el atacante controla completamente el dispositivo y las cuentas en las que ha iniciado sesión.

Todo lo que el usuario ve en la pantalla de su dispositivo queda al alcance de estas variantes de malware. Por lo tanto, después de la infección, ninguna información está segura y ninguna medida de protección es efectiva.

Dicho esto, los usuarios deben permanecer atentos, mantener al mínimo la cantidad de aplicaciones instaladas en sus teléfonos inteligentes y verificar regularmente que Play Protect esté habilitado.