I ricercatori di cybersecurity di Threat Fabric sono venuti a conoscenza del malware bancario Octo vedendo le richieste sul dark web ed hanno notato che il file malevolo ha molto in comune con ExobotCompact, un trojan di accesso remoto, comprese le misure per prevenire il reverse-engineering del malware e la codifica che lo rende facile da nascondere all’interno di un’app innocente sul Google Play Store, così come il bel trucco di disabilitare Google Protect al momento del download. Ciò che distingue Octo, secondo Threat Fabric, è la funzionalità on-device fraud (ODF). Mentre ODF non è nuovo nell’ecosfera del malware, è la stranezza che distingue Octo dal resto della famiglia Exobot di app dannose.
Per eseguire ODF, Octo si intrufola attraverso il servizio di accessibilità e imposta ciò che equivale a un flusso streaming sui server di comando e controllo dell’attaccante che viene aggiornato ogni secondo dal telefono compromesso, utilizzando uno schermo nero e disabilita le notifiche per nascondere all’utente innocente ciò che sta facendo. Quindi, fondamentalmente, sembra che il dispositivo sia stato spento, ma il malware sta facendo una festa mentre lo schermo è vuoto, ed esegue una serie di compiti come lo scorrimento, i tap, i testi e il taglia e incolla. Octo utilizza anche un software di keylogging per tracciare tutto ciò che l’utente hackerato digita nel dispositivo (come PIN, numeri di previdenza sociale, messaggi OnlyFans), ed è in grado di bloccare le notifiche push di specifiche app e intercettare o inviare testi.
Octo è un nome appropriato quindi per un pezzo di malware che è così spaventosamente versatile. Per quanto riguarda le campagne in cui gli attaccanti stanno già utilizzando il malware, Threat Fabric ha scoperto un’app dall’aspetto innocente su Google Play soprannominata “Fast Cleaner” che era in realtà un “dropper” per Octo.
I dropper sono gusci dall’aspetto legittimo che contengono payloads di malware.
Possono anche fare ciò che pubblicizzano, ma alla fine sono pillole di veleno. Secondo il sito di cybersicurezza, “Fast Cleaner” era uno dei dropper preferiti, poiché è stato utilizzato anche per distribuire sapori di malware come Alien e Xenomorph.
Threat Fabric ha manifestato forte preoccupazione sul fatto che il software maligno sta diventando più subdolo con ogni nuova evoluzione, aggiungendo caratteristiche come l’evasione dell’autenticazione a più fattori.
