Nuovo Trojan Bancario per Android. Ecco Octo

Posted by By Francesco D'Accico 3 Min per Leggere 9 Aprile 2022
Virus Banking

Fate attenzione. Ecco un nuovo trojan bancario che fa paura su tutti gli smartphone Android. Si chiama Octo e ti svuota i conti correnti bancari

Un nuovo malware bancario Android chiamato Octo è apparso nelle ultime settimane. Le funzionalità di accesso remoto che consentono agli operatori malintenzionati di eseguire frodi sul dispositivo sono sempre più affinate e pericolose, atte ad ingannare gli utenti che ci cascano sempre più frequentemente.

Octo è un malware Android evoluto basato su ExoCompact, una variante del malware basata sul trojan Exo che ha abbandonato la sua attività in passato e il cui codice sorgente è trapelato nel 2018. La nuova variante è stata scoperta dai ricercatori di ThreatFabric, che hanno osservato diversi utenti che cercavano di acquistarla sui forum darknet.

La novità significativa di Octo rispetto a ExoCompact è un modulo di accesso remoto avanzato che consente agli hacker di eseguire ODF (on-device fraud) controllando in remoto il dispositivo Android compromesso. L’accesso remoto è fornito tramite un modulo di streaming live screen (aggiornato ogni secondo) tramite MediaProjection di Android e azioni remote tramite il Servizio di Accessibilità.

La frode sul dispositivo consente l'acquisizione completa del dispositivo compromesso

Octo utilizza uno schermo nero in sovrimpressione per nascondere le operazioni remote della vittima, imposta la luminosità dello schermo su zero e disabilita tutte le notifiche attivando la modalità “nessuna interruzione”. Facendo sembrare il dispositivo spento, il malware può eseguire varie attività all’insaputa della vittima.

Queste attività includono tocchi dello schermo, gesti, scrittura di testo, modifica degli appunti, copia di dati e scorrimento. Oltre al sistema di accesso remoto, Octo dispone anche di un potente keylogger in grado di monitorare e catturare tutte le azioni delle vittime sui dispositivi Android infetti.

Ciò include i PIN inseriti, i siti web aperti, i clic e gli elementi su cui è stato fatto clic, gli eventi di modifica del focus e gli eventi di modifica del testo. Infine, Octo supporta un ampio elenco di comandi tra cui i più importanti e più potenti sono i seguenti:

  • Blocca le notifiche push da applicazioni specifiche
  • Abilita intercettazione SMS
  • Disattiva l’audio e blocca temporaneamente lo schermo del dispositivo
  • Avvia un’applicazione specifica
  • Avvia/arresta sessione di accesso remoto
  • Aggiorna l’elenco dei C2
  • Apri l’URL specificato
  • Invia SMS con testo specificato a un numero di telefono specificato

Octo viene venduto sul forum di hacking XSS di lingua russa, da un utente che utilizza lo pseudonimo di “Architect” o “Goodluck”. A causa delle ampie somiglianze con ExoCompact permette anche di aggirare il Google Protect è molto probabile che “Architect” sia lo stesso autore o un nuovo proprietario del codice sorgente di ExoCompact.

Tags:
Francesco D'Accico
Visualizza altri post
Sono appassionato di tecnologia sin dalla tenera età, coltivo la mia passione con aggiornamenti quotidiani e non mi lascio scappare proprio nulla. Ho creato HowTechIsMade per condividere con voi le mie passioni ed aiutarvi ad avere un approccio più semplice con la tecnologia.