Detectada nueva versión del troyano Octo en campaña de difusión de APKs maliciosas

Descripción

 

Octo es un troyano bancario para Android evolucionado a partir de ExoCompact (2019-2021), que a su vez se basó en el troyano ExoBot, se lanzó en 2016 y cuyo código fuente se filtró en línea en el verano de 2018. Actualmente, se ha observado una campaña que distribuye una versión nueva del troyano, denominado Octo2, que se dirige a Italia, Polonia, Moldavia y Hungría. Sin embargo, como la plataforma Octo Malware-asa-Service (MaaS) ya ha sido utilizada en ataques por todo el mundo, es probable que pronto veamos campañas de este malware bancario en otras regiones.

 

 

Detalle Técnico

 

La nueva variante presenta una mejor estabilidad operativa, mecanismos anti-análisis y anti-detección más avanzados y un sistema de algoritmo de generación de dominios (DGA) para comunicaciones de comando y control (C2) resilientes. A continuación, se detallan estos cambios:

 

• Mayor estabilidad del RAT: Los desarrolladores actualizaron las capacidades RAT para aumentar la estabilidad y disminuir la latencia de la conexión durante las sesiones remotas. Introdujeron una configuración específica de sesión remota “SHIT_QUALITY” que puede ser especificada por un operador para disminuir la cantidad de datos transmitidos a través de Internet al C2 y aumentar la estabilidad de la conexión incluso en redes con una conexión deficiente. Esta configuración hará que Octo2 disminuya la calidad de las capturas de pantalla enviadas al C2 codificando cada píxel con la mitad del número habitual de bytes.

 

• Técnicas anti-análisis y anti-detección mejoradas: Los desarrolladores implementaron un proceso sofisticado de ofuscación de código malicioso en comparación con las variantes anteriores. El proceso de ejecución consta de varios pasos, incluido el descifrado y la carga dinámica de una biblioteca nativa adicional, que es responsable de descifrar el payload, generar claves de cifrado y nombres de dominio C2.

 

• Comunicación con C2 y algoritmo de generación de dominios (DGA): Utiliza un algoritmo de generación de dominios (DGA) para generar el nombre real del servidor C2. Esta técnica permite a los cibercriminales actualizar los nombres de dominio sobre la marcha sin necesidad de regenerar las muestras, así como configurar fácilmente nuevos servidores con nuevos nombres después de que se eliminen los conocidos.

 

También se actualizó la derivación de clave para cifrar los datos enviados al C2: en lugar de una clave estática codificada, el malware genera una nueva clave para cada solicitud al C2. La "sal" criptográfica se comparte como parte de la solicitud para que el servidor C2 pueda derivar la misma clave de su lado para descifrar los datos.

 

En las operaciones más recientes, los actores de amenazas utilizan archivos APK que simulan ser aplicaciones falsas de NordVPN y Google Chrome, así como una aplicación Europe Enterprise, que probablemente sea un señuelo utilizado en ataques dirigidos. Octo2 usa el servicio Zombider, una aplicación distribuida en la Dark Web que permite vincular malware a aplicaciones legítimas de Android para agregar la carga maliciosa a estos APK, eludiendo así las restricciones de seguridad de Android 13 (y versiones posteriores).

 

 

Técnicas utilizadas

 

INITIAL ACCESS

Supply Chain Compromise: Compromise Software Dependencies and Development Tools.T1195.001

 

EXECUTION

User Execution: Malicious File.T1204.002

Scheduled Task/Job: Scheduled Task.T1053.005

 

DEFENSE EVASION

Masquerading: Masquerade File Type.T1036.008

Process Injection: Dynamic-link Library Injection.T1055.001

 

COMMAND & CONTROL

Dynamic Resolution: Domain Generation Algorithms.T1568.002

Protocol Tunneling.T1572

 

COLLECTION

Input Capture: Keylogging.T1056.001

Screen Capture.T1113

 

EXFILTRATION

Supply Chain Compromise: Compromise Software Dependencies and Development Tools.T1195.001

Recomendaciones