Un nuevo y peligroso troyano bancario para Android, denominado Octo2, ha sido descubierto por investigadores de ciberseguridad. Esta variante mejorada del malware Octo presenta capacidades avanzadas para el robo de dispositivos (DTO) y la realización de transacciones fraudulentas, lo que supone una seria amenaza para los usuarios de banca móvil en todo el mundo.
Origen y evolución del malware
La firma de seguridad holandesa ThreatFabric ha sido la encargada de detectar y analizar esta nueva versión del troyano. Según su informe, Octo2 es una evolución directa de Octo, un malware que fue identificado por primera vez a principios de 2022. Este, a su vez, es descendiente del troyano Exobot, cuya aparición se remonta a 2016.
La filtración del código fuente de Octo a principios de este año ha sido el principal catalizador para el surgimiento de Octo2. Esta situación ha permitido a otros actores maliciosos generar múltiples variantes del malware, aumentando significativamente su presencia en el panorama de las ciberamenazas.
Distribución y alcance geográfico
Las campañas de distribución de Octo2 se han detectado principalmente en países europeos como Italia, Polonia, Moldavia y Hungría. El malware se propaga a través de aplicaciones Android fraudulentas, entre las que se encuentran:
- Empresa europea (com.xsusb_restore3)
- Google Chrome (com.havirtual06numberresources)
- NordVPN (com.handedfastee5)
Es importante destacar que, hasta el momento, no se ha encontrado evidencia de que Octo2 se distribuya a través de la Google Play Store. Los usuarios suelen descargar estas aplicaciones maliciosas de fuentes no confiables o son engañados para instalarlas mediante técnicas de ingeniería social.
Capacidades y mejoras técnicas
Octo2 presenta importantes mejoras respecto a su predecesor. Entre las más significativas se encuentran:
- Implementación de un algoritmo de generación de dominio (DGA) para crear el nombre del servidor de comando y control (C2).
- Mayor estabilidad general del malware.
- Técnicas antianálisis mejoradas.
El uso del sistema C2 basado en DGA proporciona una ventaja considerable al permitir a los atacantes cambiar fácilmente a nuevos servidores C2, lo que dificulta la efectividad de las listas de bloqueo de nombres de dominio y mejora la resistencia contra posibles intentos de eliminación.
Implicaciones para la seguridad móvil
La transición de Octo a un modelo de malware como servicio (MaaS) representa un desarrollo preocupante en el ámbito de la ciberseguridad. Esta evolución permite al desarrollador monetizar el malware ofreciéndolo a otros ciberdelincuentes interesados en realizar operaciones de robo de información.
ThreatFabric advierte que las sólidas capacidades de acceso remoto de Octo2, junto con sus sofisticadas técnicas de ofuscación, aumentan significativamente los riesgos para los usuarios de banca móvil a nivel mundial. La habilidad de esta variante para realizar fraudes de manera invisible e interceptar datos confidenciales la convierte en una amenaza particularmente peligrosa.
En resumen, la aparición de Octo2 subraya la importancia de mantener prácticas de seguridad rigurosas en dispositivos móviles. Los usuarios deben ser extremadamente cautelosos al descargar aplicaciones, evitando fuentes no oficiales y prestando atención a los permisos solicitados durante la instalación. Además, es fundamental mantener los dispositivos actualizados y utilizar software de seguridad confiable para protegerse contra estas amenazas en constante evolución.
