Considerado uma nova versão do Octo, o Malware Octo2 se passa por NordVPN, Chrome, e outro app não tão conhecido.
Octo é um trojan bancário Android que evoluiu do ExoCompact (2019-2021), que por sua vez era baseado no trojan ExoBot lançado em 2016 e teve seu código-fonte vazado online no verão de 2018.
O ThreatFabric descobriu a primeira versão do Octo em abril de 2022 em aplicativos de limpeza falsos no Google Play. O relatório da TF na época destacou os recursos de fraude no dispositivo do malware que permitiam aos seus operadores amplo acesso aos dados da vítima.
Entre outras coisas, o Octo v1 suportava keylogging, navegação no dispositivo, interceptação de SMS e notificações push, bloqueio de tela do dispositivo, silenciamento de som, lançamentos arbitrários de aplicativos e uso de dispositivos infectados para distribuição de SMS.
A ThreatFabric diz que o Octo vazou este ano, fazendo com que vários forks do malware aparecessem na natureza, provavelmente criando um impacto nas vendas do criador original, “Architect”.
Após esses eventos, o Architect anunciou o Octo2, provavelmente como uma tentativa de lançar uma versão atualizada no mercado de malware e despertar o interesse dos cibercriminosos. O criador do malware até anunciou um desconto especial para clientes do Octo v1.
Essa nova versão do malware Octo Android, chamada “Octo2”, foi vista se espalhando pela Europa sob o disfarce de NordVPN, Google Chrome e um aplicativo chamado Europe Enterprise.
Malware Octo2 se passa por NordVPN, Chrome, e outro app
A nova variante, analisada pelo ThreatFabric, apresenta melhor estabilidade operacional, mecanismos antianálise e anti detecção mais avançados e um sistema de algoritmo de geração de domínio (DGA) para comunicações resilientes de comando e controle (C2).
Por fim, sua aparição “on the wild” confirma que o projeto está vivo e evoluindo, apesar da turbulência pela qual passou recentemente.
As campanhas que atualmente implantam o Octo2 se concentram na Itália, Polônia, Moldávia e Hungria.
No entanto, como a plataforma Octo Malware-as-a-Service (MaaS) facilitou ataques em todo o mundo, incluindo nos EUA, Canadá, Austrália e Oriente Médio, provavelmente veremos campanhas Octo2 aparecerem em outras regiões em breve.
Nas operações europeias, os agentes de ameaças usam aplicativos falsos NordVPN e Google Chrome, bem como um aplicativo Europe Enterprise, que provavelmente é uma isca usada em ataques direcionados.
O Octo2 usa o serviço Zombider para adicionar a carga maliciosa a esses APKs, ignorando as restrições de segurança do Android 13 (e posteriores).
O Octo2 é mais uma atualização contínua da primeira versão, melhorando o malware incrementalmente em vez de implementar mudanças inovadoras ou reescrever o código do zero.
Primeiro, o autor do malware introduziu uma nova configuração de baixa qualidade no módulo da ferramenta de acesso remoto (RAT) chamada “SHIT_QUALITY” que reduz as transmissões de dados ao mínimo, permitindo uma conectividade mais confiável quando as velocidades de conexão à Internet são abaixo da média.
O Octo2 também descriptografa sua carga útil usando código nativo e complica a análise carregando dinamicamente bibliotecas adicionais durante a execução, melhorando ainda mais suas já fortes capacidades de evasão.
Finalmente, o Octo2 introduz um sistema de domínio C2 baseado em DGA que permite que os operadores atualizem e alternem rapidamente para novos servidores C2, tornando as listas de bloqueio ineficazes e melhorando a resiliência contra tentativas de remoção do servidor.
O ThreatFabric também observa que o Octo2 agora recebe uma lista de aplicativos para interceptar e bloquear notificações push, permitindo que os operadores refinem seu escopo de segmentação.
O Octo2 não foi detectado no Google Play, então acredita-se que sua distribuição esteja limitada a lojas de aplicativos de terceiros, que os usuários do Android devem evitar.