Uma nova versão do malware Octo Android, apelidada de “Octo2”, tem se espalhado pela Europa sob o disfarce de NordVPN, Google Chrome e um aplicativo chamado Europe Enterprise.
Nova variante do malware Android Octo
Essa nova versão do malware Pcto, analisada pelo ThreatFabric (Via: Bleeping Computer), apresenta melhor estabilidade operacional, mecanismos antianálise e antidetecção mais avançados e um sistema de algoritmo de geração de domínio (DGA) para comunicações resilientes de comando e controle (C2).
Se você ainda não o conhece, o Octo é um trojan bancário para Android que evoluiu do ExoCompact (2019-2021), que por sua vez era baseado no trojan ExoBot, lançado em 2016 e cujo código-fonte vazou online no verão de 2018.
O ThreatFabric descobriu a primeira versão do Octo em abril de 2022 em aplicativos de limpeza falsos no Google Play. O relatório da TF na época destacou os recursos de fraude no dispositivo do malware, que permitiam aos seus operadores amplo acesso aos dados da vítima. Entre outras coisas, o Octo v1 suportava keylogging, navegação no dispositivo, interceptação de SMS e notificações push, bloqueio de tela do dispositivo, silenciamento de som, inicialização arbitrária de aplicativos e uso de dispositivos infectados para distribuição de SMS.
De acordo com informações do TheFabric, o Octo vazou este ano, fazendo com que diversas bifurcações do malware aparecessem, provavelmente causando uma redução nas vendas do criador original, “Architect”. Após esses eventos, a Architect anunciou o Octo2, provavelmente como uma tentativa de lançar uma versão atualizada no mercado de malware e despertar o interesse dos cibercriminosos. O criador do malware até anunciou um desconto especial para clientes do Octo v1.
Operações da Octo2 na Europa
As campanhas que atualmente implantam o Octo2 se concentram na Itália, Polônia, Moldávia e Hungria. No entanto, como a plataforma Octo Malware-as-a-Service (MaaS) já facilitou ataques em todo o mundo, incluindo nos EUA, Canadá, Austrália e Oriente Médio, provavelmente veremos campanhas do Octo2 aparecerem em outras regiões em breve.
Notícias Relacionadas
Widgets Android
Widgets da tela de bloqueio do Android só funciona bem com inicializador nativo
Após remover os widgets do Android há muitos anos, o Google finalmente trouxe os widgets de volta à tela de bloqueio na versão beta mais recente do Android 15. No entanto, você só pode adicionar widgets à tela de bloqueio se estiver usando o Pixel Launcher padrão. Widgets da tela de bloqueio do Android Para […]
Android 15 pode ser lançado em 15 de outubro com novas funcionalidades
O Android 15 traz melhorias essenciais como o “Notification Cooldown”, “App Archiving” e “Private Space”. Embora o impacto visual do Android 15 pareça modesto, as funções aprimoradas foram bem recebidas pelos desenvolvedores durante as prévias e versões beta. A expectativa era de que a atualização fosse lançada no mês passado, mas houve um adiamento. Agora, […]
Nas operações europeias, os agentes de ameaças usam aplicativos falsos do NordVPN e do Google Chrome, bem como um aplicativo Europe Enterprise, que provavelmente é uma isca usada em ataques direcionados.
O Octo2 usa o serviço Zombider para adicionar a carga maliciosa nesses APKs, ignorando as restrições de segurança do Android 13 (e posteriores). Ele é mais uma atualização contínua da primeira versão, melhorando o malware gradualmente em vez de implementar mudanças inovadoras ou reescrever o código do zero.
O Octo2 também descriptografa sua carga usando código nativo e complica a análise carregando dinamicamente bibliotecas adicionais durante a execução, melhorando ainda mais suas já fortes capacidades de evasão. Por fim, o Octo2 introduz um sistema de domínio C2 baseado em DGA que permite que os operadores atualizem e troquem rapidamente para novos servidores C2, tornando as listas de bloqueio ineficazes e melhorando a resiliência contra tentativas de remoção de servidores.
O Octo2 não foi localizado no Google Play, então acredita-se que sua distribuição esteja limitada a lojas de aplicativos de terceiros, que usuários do Android devem evitar, diz o Bleeping Computer.
Via: Bleeping Computer
