Un popular troyano de banca móvil ha sido actualizado y renombrado para la venta en foros de la dark web, según descubrieron investigadores de seguridad cibernética.
Los expertos de ThreatFabric identificaron recientemente la cepa de malware de Android altamente peligrosa, conocida como Octo, que permite al actor de amenazas explotar el punto final comprometido (se abre en una nueva pestaña) desde una ubicación remota.
El atacante usa el servicio de Accesibilidad para realizar las acciones de forma remota y un módulo de transmisión en vivo (usando Android MediaProjection) para mostrar la pantalla.
ExoCompact está de vuelta
Al cubrir la pantalla con negro, el atacante puede engañar al usuario haciéndole creer que el dispositivo está apagado. El malware también puede establecer el brillo de la pantalla en cero y deshabilitar todas las notificaciones.
Una vez que el dispositivo está listo, el atacante puede hacer todo tipo de cosas, escribir mensajes de texto, modificar el portapapeles, pegar datos, etc. También funciona como keylogger, lo que permite el robo de contraseñas y datos de tarjetas de crédito.
Después de obtener la muestra, los investigadores establecieron que Octo es esencialmente una versión mejorada y evolucionada de un antiguo malware de Android llamado ExoCompact.
ExoCompact es un troyano cuyo autor supuestamente renunció en 2018 y cuyo código fuente se filtró en línea. Sin embargo, los investigadores ahora afirman que es el mismo actor de amenazas quien ahora propone a Octo, un individuo conocido como el «Arquitecto» o «buena suerte».
Lograron rastrear el malware hasta siete aplicaciones encontradas en Play Store:
- Creador de pantalla de bolsillo (com.moh.screen)
- Limpiador rápido 2021 (vizeeva.fast.cleaner)
- Tienda de juegos (com.restthe71)
- Seguridad del banco postal (com.carbuildz)
- Creador de pantalla de bolsillo (com.cutthousandjs)
- Seguridad BAWAG PSK (com.frontwonder2)
- Instalación de la aplicación Play Store (com.theseeye5)
Todas las aplicaciones ahora se han eliminado del repositorio de aplicaciones de Google, pero al menos 50,000 dispositivos se han visto comprometidos.
A través de BleepingComputer (se abre en una nueva pestaña)
