El nuevo troyano bancario Octo se propaga por medio de apps falsas en Google Play Store

Varias aplicaciones de Android no autorizadas que se han instalado acumulativamente desde la tienda oficial de Google Play más de 50,000 veces se utilizan para apuntar a bancos y otras entidades financieras.

El troyano bancario de alquiler, denominado Octo, es un cambio de marca de otro malware de Android llamado ExobotCompacto, que a su vez, es un reemplazo «ligero» de su predecesor Exobot, según dijo la empresa holandesa de seguridad móvil, ThreatFabric.

Es probable que también Exobot allanó el camino para un descendiente separado llamado Coper, que se descubrió inicialmente dirigido a usuarios colombianos alrededor de julio de 2021, con infecciones más nuevas dirigidas a usuarios de Android en distintos países europeos.

Al igual que otros troyanos bancarios de Android, las aplicaciones no autorizadas no son más que cuentagotas, cuya función principal es desplegar la carga maliciosa incrustada en ellas. La lista de cuentagotas Octo y Coper utilizados por múltiples actores de amenazas se encuentra a continuación:

• Creador de pantalla de bolsillo (com.moh.screen)
• Limpiador rápido 2021 (vizeeva.fast.cleaner)
• Tienda de juegos (com.restthe71)
• Seguridad del banco postal (com.carbuildz)
• Creador de pantalla de bolsillo (com.cutthousandjs)
• BAWAG PSK Security (com.frontwonder2)
• Instalación de la aplicación Play Store (com.theseeye5)

Estas aplicaciones, que se hacen pasar por el instalador de aplicaciones PlayStore, grabación de pantalla y aplicaciones financieras, están «impulsadas por esquemas de distribución de incentivos», que se distribuyen a través de la tienda Google Play por medio de páginas de destino fraudulentas que supuestamente alertan a los usuarios para que descarguen una actualización del navegador.

Los goteros, una vez instalados, actúan como un conducto para lanzar los troyanos, no sin antes solicitar a los usuarios que habiliten los Servicios de Accesibilidad que permiten una amplia gama de filtrar información confidencial de los teléfonos comprometidos.

Octo, la versión revisada de ExobotCompact, también está equipada para realizar fraudes en el dispositivo al obtener el control remoto de los dispositivos aprovechando los permisos de accesibilidad, así como la API Media Projection de Android para capturar el contenido de la pantalla en tiempo real.

El objetivo final, según ThreatFabric, es activar el «inicio automático de transacciones fraudulentas y su autorización sin esfuerzos manuales por parte del operador, lo que permite el fraude a una escala significativamente mayor».

Otras características notables de Octo incluyen el registro de pulsaciones de teclas, la realización de ataques de superposición en aplicaciones bancarias para capturar credenciales, la recopilación de información de contacto y medidas de persistencia para evitar la desinstalación y evadir los motores antivirus.

Los hallazgos llegan poco después del descubrimiento de un robot bancario de Android distinto llamado GodFather, que comparte superposiciones con los troyanos bancarios Cerberus y Medusa, que se ha observado apuntando a usuarios bancarios en Europa bajo la apariencia de la aplicación Configuración predeterminada para transferir fondos y robar mensajes SMS, entre otros.

Además, un nuevo análisis publicado por AppCensus, encontró 11 aplicaciones con más de 46 millones de instalaciones que se implantaron con un SDK de terceros llamado Coelib, que hizo posible capturar contenido del portapapeles, datos de GPS, direcciones de correo electrónico, números de teléfono e incluso la dirección MAC del enrutador del módem del usuario y el SSID de la red.