I ricercatori di ThreatFabric hanno individuato una nuova versione di Octo che colpisce i dispositivi Android. Il malware sfrutta la popolarità di NordVPN e Google Chrome per ingannare gli utenti. Gli attacchi più recenti sono stati rilevati in Italia, Polonia, Moldavia e Ungheria.
Nuove funzionalità di Octo
Octo è un trojan bancario che circola online da aprile 2022. La seconda versione “Octo2” offre le stesse funzionalità precedenti, ma l’autore ha migliorato i meccanismi per evitare la sua rilevazione e la comunicazione con il server C2 (command and control).
Come metodo di distribuzione sfrutta il servizio Zombinder che consente di aggiungere codice infetto ai file APK e aggirare le protezioni di Android 13 e versioni successive. I ricercatori di ThreatFabric hanno trovato il malware nelle app (fasulle) di NordVPN e Google Chrome pubblicate su store di terze parti.
Come altri trojan bancari, Octo mostra una schermata di login simile a quelle legittime delle banche (overlay attack). Le credenziali di login inserite dagli utenti finiscono quindi nelle mani dei cybercriminali. Il malware può anche intercettare gli SMS e le notifiche push, eseguire app arbitrarie e catturare screenshot dello schermo.
Con la nuova versione sono state migliorate le tecniche anti-analisi e anti-rilevazione. È stata inoltre aggiunta la generazione casuale dei nomi di dominio per il server C2. Ciò rende inefficaci i blocchi basati su liste di URL. Gli utenti non devono installare app da store sconosciuti, ma solo dal Google Play Store.