Un nuovo trojan bancario per Android chiamato Octo2 è stato recentemente scoperto dai ricercatori di cybersecurity, con capacità avanzate di takeover del dispositivo e transazioni fraudolente. Questo trojan è una versione migliorata dell'originale Octo ed è stato individuato in campagne di distribuzione in diversi paesi europei come Italia, Polonia, Moldova e Ungheria.

Funzionalità di Octo2

Octo2, sviluppato dall'autore del malware con il nome in codice Octo2, è stato rilevato dalla società di sicurezza olandese ThreatFabric. Le nuove funzionalità di Octo2 includono una maggiore stabilità per gli attacchi di takeover del dispositivo, che permettono ai cybercriminali di eseguire azioni remote con maggiore efficacia. Tra le applicazioni malevole che contengono Octo2, sono state identificate Europe Enterprise, Google Chrome e NordVPN.

Origini del Trojan Octo

Il trojan Octo è stato inizialmente segnalato nel 2022, descritto come l'opera di un attore di minacce noto con gli alias online Architect e goodluck. È considerato un discendente diretto del malware Exobot, rilevato per la prima volta nel 2016 e che ha dato origine a varianti come Coper nel 2021. Exobot, basato sul codice sorgente del trojan bancario Marcher, ha preso di mira istituzioni finanziarie in Turchia, Francia, Germania, Australia, Thailandia e Giappone fino al 2018, quando è stata introdotta una versione "lite" chiamata ExobotCompact.

Motivazioni e Sviluppi

La comparsa di Octo2 è stata in gran parte motivata dalla fuga di codice sorgente di Octo all'inizio di quest'anno, permettendo ad altri attori di minacce di creare varianti multiple del malware. Un altro sviluppo significativo è la transizione di Octo2 a un'operazione di malware-as-a-service (MaaS), permettendo al suo sviluppatore di monetizzare il malware offrendo il servizio a cybercriminali interessati a eseguire operazioni di furto di informazioni.

Migliorie Tecniche di Octo2

Una delle principali migliorie di Octo2 è l'introduzione di un algoritmo di generazione di domini (DGA) per creare i nomi dei server di comando e controllo (C2), oltre a migliorare la stabilità complessiva e le tecniche di anti-analisi. Le app Android rogue che distribuiscono il malware sono state create utilizzando un noto servizio di binding APK chiamato Zombinder, che permette di trojanizzare applicazioni legittime per recuperare il malware vero e proprio sotto le spoglie di un "plugin necessario".

Con il codice sorgente originale di Octo già trapelato e facilmente accessibile a vari attori di minacce, Octo2 si basa su questa base con capacità di accesso remoto ancora più robuste e tecniche di offuscamento sofisticate. La capacità di questa variante di eseguire frodi sul dispositivo e intercettare dati sensibili in modo invisibile, unita alla facilità con cui può essere personalizzata da diversi attori di minacce, aumenta notevolmente il rischio per gli utenti di mobile banking a livello globale.