Una tipologia di malware Android pensato per rubare le informazioni bancarie apparso per la prima volta nel 2016 e chiamato Exobot, è stato pian piano modificato per essere sempre più sofisticato. Nel 2018 è diventato ExobotCompact, un trojan di accesso remoto (RAT) con diversi sottotipi aggiuntivi. E di recente, dei ricercatori di sicurezza informatica hanno scoperto Octo, un nuovo RAT che si è essenzialmente evoluto da Exobot ma ha caratteristiche ancora più ingannevoli, come quella che consente al trojan di nascondere le sue attività anche se trasforma il tuo telefono in un veicolo per commettere frodi.
Bleeping Computer riporta che i ricercatori di sicurezza informatica con Threat Fabric hanno appreso di Octo vedendo richieste sul dark web. Threat Fabric ha scoperto che Octo ha molto in comune con ExobotCompact, comprese le misure per prevenire il reverse engineering del malware e la codifica che rende facile nascondersi all’interno di un’app apparentemente innocente sul Google Play Store, oltre al trucco per disabilitare Google Protect al momento del download.
Ciò che distingue Octo, secondo Threat Fabric, è la funzionalità di frode su dispositivo (ODF). Sebbene ODF non sia nuovo nell’ecosfera del malware, è la stranezza che distingue Octo dal resto della famiglia di app dannose Exobot. Per eseguire ODF, Octo si intrufola tramite il servizio di accessibilità e imposta ciò che equivale a un live streaming ai server di comando e controllo dell’attaccante che viene aggiornato ogni secondo dal telefono compromesso. Quindi utilizza uno schermo nero e disabilita le notifiche per oscurare ciò che sta facendo all’utente.
In pratica, sembra che lo smartphone sia stato spento, ma il malware sta organizzando una festa “sotto il cofano” di Android mentre lo schermo è vuoto ed esegue una serie di attività come lo scorrimento, i tocchi e il taglia e incolla. Octo utilizza anche un software di keylogging per tenere traccia di tutto ciò che l’utente violato digita nel dispositivo (come PIN, password, messaggi ecc.) ed è in grado di bloccare le notifiche push di app specifiche e di intercettare o inviare messaggi.
Octo è quindi un nome appropriato per un malware così spaventosamente versatile. Per quanto riguarda le campagne in cui gli aggressori stanno già utilizzando il malware, Threat Fabric ha scoperto un’app dall’aspetto innocente su Google Play soprannominata “Fast Cleaner” che in realtà era un “contagocce” per Octo. I contagocce sono coperture apparentemente legittime che contengono un carico di malware. Possono anche fare quello che pubblicizzano, ma alla fine sono pillole avvelenate.
Secondo il sito di sicurezza informatica, “Fast Cleaner” era uno dei contagocce preferiti, poiché veniva utilizzato anche per distribuire tipi di malware come Alien e Xenomorph.