Octo, um malware bancário Android que pode controlar seu dispositivo

Conheça o Octo, um malware bancário Android que pode controlar seu dispositivo. Confira os detalhes dessa perigosa ameaça digital.

Um novo malware bancário para Android chamado Octo apareceu à solta, apresentando recursos de acesso remoto que permitem que operadores mal-intencionados realizem fraudes no dispositivo.

Octo, um malware bancário Android que pode controlar seu dispositivo

Octo, um malware bancário Android que pode controlar seu dispositivo

Octo é um malware Android evoluído baseado no ExoCompact, uma variante de malware baseada no trojan Exo que saiu do espaço do cibercrime e teve seu código-fonte vazado em 2018.

A nova variante foi descoberta por pesquisadores da ThreatFabric, que observaram vários usuários procurando comprá-la em fóruns da darknet.

O novo recurso significativo do Octo comparado ao ExoCompact é um módulo avançado de acesso remoto que permite que os agentes de ameaças realizem fraudes no dispositivo (ODF) controlando remotamente o dispositivo Android comprometido.

O acesso remoto é fornecido através de um módulo de streaming de tela ao vivo (atualizado a cada segundo) através do MediaProjection do Android e ações remotas através do Serviço de Acessibilidade.

O Octo usa uma sobreposição de tela preta para ocultar as operações remotas da vítima, define o brilho da tela para zero e desativa todas as notificações ativando o modo “sem interrupção”.

Ao fazer com que o dispositivo pareça estar desligado, o malware pode executar várias tarefas sem que a vítima saiba. Essas tarefas incluem toques na tela, gestos, escrita de texto, modificação da área de transferência, colagem de dados e rolagem para cima e para baixo.

Octo, um malware bancário Android que pode controlar seu dispositivo – A fraude no dispositivo permite a aquisição completa do dispositivo comprometido Fonte: ThreatFabric

Além do sistema de acesso remoto, o Octo também possui um poderoso keylogger que pode monitorar e capturar as ações de todas as vítimas em dispositivos Android infectados.

Isso inclui PINs inseridos, sites abertos, cliques e elementos clicados, eventos de alteração de foco e eventos de alteração de texto.

Finalmente, o Octo suporta uma extensa lista de comandos, sendo os mais importantes:

  • Bloqueie notificações push de aplicativos especificados
  • Ativar interceptação de SMS
  • Desative o som e bloqueie temporariamente a tela do dispositivo
  • Iniciar um aplicativo especificado
  • Iniciar/parar sessão de acesso remoto
  • Atualizar lista de C2s
  • Abrir URL especificado
  • Envie SMS com texto especificado para um número de telefone especificado
  • Campanhas e atribuição

O Octo é vendido em fóruns, como o fórum de hackers XSS de língua russa, por um agente de ameaças usando o alias “Architect” ou “goodluck”.

É importante notar que, embora a maioria das postagens no XSS seja em russo, quase todas as postagens entre o Octo e os assinantes em potencial foram escritas em inglês.

Devido às extensas semelhanças com o ExoCompact, incluindo o sucesso da publicação do Google Play, a função de desativação do Google Protect e o sistema de proteção de engenharia reversa, a ThreatFabric acredita que há uma boa chance de que ‘Architect’ seja o mesmo autor ou um novo proprietário do código-fonte do ExoCompact.

O ExoCompact também possui um módulo de acesso remoto, embora mais simples, também oferece opções de atraso na execução de comandos e possui um painel de administração semelhante ao do Octo.

Octo, um malware bancário Android que pode controlar seu dispositivo – painel do octo Fonte: ThreatFabric

“Assim, tendo esses fatos em mente, concluímos que o ExobotCompact foi renomeado para Octo Android banking Trojan e é alugado por seu proprietário “Architect”, também conhecido como “goodluck”. ThreatFabric rastreia essa variante como ExobotCompact.D”, conclui Threat Fabric em seu relatório.

Aplicativos recentes do Google Play que infectaram dispositivos com Octo incluem um aplicativo chamado “Fast Cleaner”, que teve 50.000 instalações até fevereiro de 2022, quando foi descoberto e removido.

Octo, um malware bancário Android que pode controlar seu dispositivo – Aplicativo Fast Cleaner entregando Octo às vítimas Fonte: ThreatFabric

Outras campanhas da Octo se basearam em sites usando avisos falsos de atualização do navegador ou avisos falsos de atualização do aplicativo Play Store.
Octo, um malware bancário Android que pode controlar seu dispositivo – Aviso de atualização do navegador falso empurrando os instaladores do Octo Fonte: ThreatFabric

Alguns operadores da Octo conseguiram se infiltrar na Play Store novamente após o término da operação Fast Cleaner, usando um aplicativo chamado “Pocket Screencaster”.

A lista completa de aplicativos Android conhecidos que contêm o malware Octo está listada abaixo:

  • Pocket Screencaster (com.moh.screen)
  • Fast Cleaner 2021 (vizeeva.fast.cleaner)
  • Play Store (com.restthe71)
  • Postbank Security (com.carbuildz)
  • Pocket Screencaster (com.cutthousandjs)
  • BAWAG PSK Security (com.frontwonder2)
  • Play Store app install (com.theseeye5)

Trojans com módulos de acesso remoto estão se tornando mais comuns, tornando obsoletas etapas robustas de proteção de conta, como códigos de dois fatores, já que o agente da ameaça controla completamente o dispositivo e suas contas conectadas.

Qualquer coisa que o usuário vê na tela do dispositivo fica dentro do acesso dessas variantes de malware, portanto, após a infecção, nenhuma informação é segura e nenhuma medida de proteção é eficaz.

Dito isso, os usuários precisam permanecer vigilantes, manter o número mínimo de aplicativos instalados em seus smartphones e verificar regularmente se o Play Protect está ativado.

Deixe um comentário

Sair da versão mobile