Denominado Octo, está equipado para capturar el contenido de la pantalla en tiempo real
Varias aplicaciones de Android no autorizadas que se han instalado de forma acumulativa desde la tienda oficial de Google Play más de 50.000 veces se utilizan para apuntar a bancos y otras entidades financieras.
Se dice que el troyano bancario de alquiler, denominado Octo, es un cambio de marca de otro malware de Android llamado ExobotCompact, que, a su vez, es un reemplazo "ligero" de su predecesor Exobot, dijo en un informe la firma holandesa de seguridad móvil ThreatFabric.
Es probable que también se diga que Exobot allanó el camino para un descendiente separado llamado Coper, que se descubrió inicialmente dirigido a usuarios colombianos alrededor de julio de 2021, con infecciones más nuevas dirigidas a usuarios de Android en diferentes países europeos.
"Las aplicaciones del malware Coper tienen un diseño modular e incluyen un método de infección de múltiples etapas y muchas tácticas defensivas para sobrevivir a los intentos de eliminación", señaló el mes pasado la compañía de seguridad cibernética Cyble en un análisis del malware.
Al igual que otros troyanos bancarios de Android, las aplicaciones no autorizadas no son más que droppers (cuentagotas), cuya función principal es desplegar la carga maliciosa incrustada en ellas. La lista de cuentagotas Octo y Coper utilizados por múltiples actores de amenazas se encuentra a continuación:
• Pocket Screencaster (com.moh.screen)
• Fast Cleaner 2021 (vizeeva.fast.cleaner)
• Play Store (com.restthe71)
• Postbank Security (com.carbuildz)
• Pocket Screencaster (com.cutthousandjs)
• BAWAG PSK Security (com.frontwonder2), and
• Play Store app install (com.theseeye5)
Estas aplicaciones, que se hacen pasar por el instalador de aplicaciones Play Store, la grabación de pantalla y las aplicaciones financieras, están "impulsadas por esquemas de distribución inventivos", distribuyéndolos a través de la tienda Google Play y a través de páginas de destino fraudulentas que supuestamente alertan a los usuarios para que descarguen una actualización del navegador.
Imagen: Aviso de falsa actualización de navegador que empuja a los instaladores de Octo
Los droppers, una vez instalados, actúan como un conducto para lanzar los troyanos, no sin antes solicitar a los usuarios que habiliten los Servicios de Accesibilidad que le permiten una amplia gama de capacidades para filtrar información confidencial de los teléfonos comprometidos.
Octo, la versión revisada de ExobotCompact, también está equipado para realizar fraudes en el dispositivo al obtener el control remoto de los dispositivos aprovechando los permisos de accesibilidad, así como la API MediaProjection de Android para capturar el contenido de la pantalla en tiempo real.
El objetivo final, dijo ThreatFabric, es activar el "inicio automático de transacciones fraudulentas y su autorización sin esfuerzos manuales por parte del operador, lo que permite el fraude a una escala significativamente mayor".
Otras características notables de Octo incluyen el registro de pulsaciones de teclas, la realización de ataques de superposición en aplicaciones bancarias para capturar credenciales, la recopilación de información de contacto y medidas de persistencia para evitar la desinstalación y evadir los motores antivirus.
"El cambio de marca a Octo borra los vínculos anteriores con la filtración del código fuente de Exobot, invitando a múltiples actores de amenazas que buscan la oportunidad de alquilar un troyano supuestamente nuevo y original", señaló ThreatFabric.
"Sus capacidades ponen en riesgo no solo aplicaciones dirigidas explícitamente que son objeto de ataques de superposición, sino que cualquier aplicación instalada en el dispositivo infectado, como ExobotCompact/Octo, puede leer el contenido de cualquier aplicación que se muestre en la pantalla y proporcionar al actor información suficiente para interactuar de forma remota con él y realizar fraude en el dispositivo (ODF)".
Los hallazgos se conocen poco después del descubrimiento de un robot bancario de Android distinto llamado GodFather, que comparte superposiciones con los troyanos bancarios Cereberus y Medusa, que se ha observado dirigido a usuarios bancarios en Europa bajo la apariencia de la aplicación de configuración predeterminada para transferir fondos y robar mensajes SMS, entre otros.
Además de eso, un nuevo análisis publicado por AppCensus encontró 11 aplicaciones con más de 46 millones de instalaciones que se implantaron con un SDK de terceros llamado Coelib que hace posible capturar el contenido del portapapeles, datos de GPS, direcciones de correo electrónico, números de teléfono e incluso la dirección MAC del enrutador del módem del usuario y el SSID de la red.
