Secondo i ricercatori di ThreatFabric, la nuova versione del malware Octo per Android si spaccia per NordVPN e Google Chrome, per controllare il traffico verso la C2 e per migliorare le capacità di elusione e la resilienza contro i tentativi di rimozione dei server.
“Il nuovo trojan bancario Android Octo2, evoluzione del malware Octo, sta attaccando principalmente gli utenti europei, inclusa l’Italia”, commenta Luigi Martire, Tinexta Cyber CERT Technical Leader.
“Originariamente noto come ExobotCompact, evidenzia una significativa evoluzione delle minacce bancarie europee”, conferma Riccardo Michetti, CTI Technical Lead di Tinexta Cyber.
Ecco come mitigare i rischi.
Indice degli argomenti
Octo per Android: l’evoluzione che prende di mira gli italiani
Le campagne che stanno attualmente distribuendo Octo2 si concentrano in Italia, Polonia, Moldavia e Ungheria. Tuttavia, poiché la piattaforma Octo Malware-as-a-Service (MaaS) ha precedentemente facilitato attacchi in tutto il mondo, compresi Stati Uniti, Canada, Australia e Medio Oriente, è probabile che presto le campagne Octo2 si diffonderanno in altri Paesi.
Nelle operazioni europee, Octo2 sfrutta il servizio Zombider per aggiungere il payload dannoso in questi APK, aggirando le restrizioni di sicurezza di Android 13 (e successivi).
La nuova variante ha migliorato la stabilità operativa, reso più avanzati i meccanismi anti-analisi e anti-rilevamento e un sistema di algoritmo di generazione del dominio (DGA) per comunicazioni di comando e controllo (C2) resilienti.
Octo2 è, infatti, un aggiornamento continuo della prima versione, in grado di migliorare il malware in modo incrementale, invece di implementare cambiamenti rivoluzionari o riscrivere il codice da zero.
In primo luogo, l’autore del malware ha introdotto una nuova impostazione di bassa qualità nel modulo dello strumento di accesso remoto (RAT), chiamata “Shit_Quality”, che riduce le trasmissioni di dati al minimo, consentendo una connettività più affidabile quando la velocità della connessione Internet è insufficiente.
Octo2 decifra inoltre il suo payload utilizzando codice nativo e complica l’analisi caricando dinamicamente librerie aggiuntive durante l’esecuzione, ottimizzando ulteriormente le sue già evidenti capacità di elusione.
Octo2 introduce, infine, un sistema di dominio C2 basato su DGA che consente agli operatori di aggiornare e passare rapidamente a nuovi server C2, rendendo inefficaci le liste di blocco e migliorando la resilienza contro i tentativi di rimozione dei server.
I dettagli
Octo è un trojan bancario Android che si è evoluto da ExoCompact (2019-2021), a sua volta basato sul trojan ExoBot lanciato nel 2016 e il cui codice sorgente è trapelato online nell’estate del 2018.
ThreatFabric ha scoperto la prima versione di Octo nell’aprile 2022 su false app di pulizia in Google Play. Il rapporto di TF all’epoca evidenziava le capacità di frode on-device del malware, che consentivano ai suoi operatori un ampio accesso ai dati della vittima.
Tra le altre cose, Octo v1 supportava il keylogging, la navigazione sul dispositivo, l’intercettazione di SMS e notifiche push, il blocco dello schermo del dispositivo, il muting del suono, l’avvio arbitrario di app e l’utilizzo dei dispositivi infetti per la distribuzione di SMS.
Infatti, “ha migliorato le sue capability di controllo remoto del dispositivo tramite degli algoritmi adattivi per il controllo del traffico verso la C2, attraverso il quale comunica tramite un complesso sistema di generazione dinamica dei domini (DGA)”, spiega Luigi Martire.
Secondo ThreatFabric, Octo è trapelato quest’anno, causando la comparsa di molteplici fork del malware, che presumibilmente hanno intaccato le vendite del creatore originale, “Architect”.
“Ciò che rende Octo2 particolarmente pericoloso è l’evoluzione delle sue funzionalità di RAT, migliorate per garantire maggiore stabilità durante le sessioni di controllo remoto e di anti-analysis“, avverte Michetti.
In seguito a questi eventi, Architect ha annunciato Octo2, probabilmente nel tentativo di aggiornare la versione nel mercato malware, cercando di suscitare l’interesse dei criminali informatici. Il creatore del malware ha persino annunciato uno sconto speciale per i clienti di Octo v1.
ThreatFabric rileva inoltre che Octo2 riceve ora un elenco di app da cui intercettare e bloccare le notifiche push, consentendo agli operatori di affinare il proprio raggio d’azione.
Come proteggersi da Octo per Android
La comparsa del malware conferma che il progetto è vivo e in evoluzione nonostante le turbolenze che ha attraversato di recente.
La prima regola per mitigare i rischi è la consapevolezza, da rafforzare con eventi formativi costanti.
“La sua distribuzione tramite app come false versioni di Google Chrome e NordVPN”, mette in guardia Martire, “pone l’accento nuovamente sul rischio che incorrono gli utenti nello scaricare gli applicativi, non solo per i sistemi operativi Desktop, ma anche per quelli mobile, de sorgenti che non sono quelle ufficiali”.
Inoltre bisogna sempre scaricare applicazioni, software, nuove versione dei sistemi operativi solo da marketplace ufficiali, per evitare il download di malware che si annida in app che si comportano da esca.
Infatti Octo2 non è stato individuato su Google Play, quindi la sua distribuzione attualmente si limita ad app store di terze parti che gli utenti Android dovrebbero evitare.
Infatti “occorre sempre tenere in mente che la migliore difesa verso questa tipologia di minacce è utilizzare sempre sorgenti affidabili e non lasciarsi ingannare da mail e/o messaggi di phishing“, conclude Luigi Martire.
“Le campagne analizzate vedono il malware diffondersi attraverso fake app di Google Chrome e NordVPN, è pertanto fondamentale per gli utenti scaricare applicazioni esclusivamente da fonti verificate“, conferma Riccardo Michetti.
