Las amenazas cibernéticas no dejan de evolucionar, y el malware está volviéndose cada vez más astuto. Un ejemplo preocupante es la reciente versión del malware Octo, diseñada específicamente para atacar dispositivos Android. Esta versión esta propagándose por Europa bajo la apariencia de NordVPN, Google Chrome y una app llamada Europe Enterprise.
La nueva variante de este malware ha mejorado su estabilidad, cuenta con técnicas más sofisticadas para evitar ser detectado y utiliza un algoritmo avanzado para mantener comunicaciones seguras con los servidores de control. En resumen, está claro que sigue activo y evolucionando, a pesar de los obstáculos que ha enfrentado recientemente.
Octo es un troyano bancario para Android que ha pasado por varias transformaciones a lo largo del tiempo. Su origen se remonta a ExoCompact (2019-2021), que a su vez evolucionó del troyano ExoBot, lanzado en 2016. El código fuente de ExoBot se filtró en 2018, lo que permitió que varias versiones derivadas empezaran a circular.
La primera versión de Octo se detectó en abril de 2022, oculto en aplicaciones falsas de limpieza en Google Play. Esta versión ya mostraba un arsenal impresionante de herramientas para fraude, permitiendo a los atacantes registrar pulsaciones de teclas, navegar por el dispositivo, interceptar mensajes SMS, silenciar el sonido, bloquear pantallas y hasta lanzar aplicaciones sin que el usuario se diera cuenta.
Este año, el código de Octo fue filtrado, lo que llevó a la aparición de múltiples versiones del malware, afectando probablemente al negocio de su creador original, conocido como 'Architect'. En respuesta a esto, Architect lanzó Octo2, una versión mejorada con la intención de recuperar el interés de los cibercriminales. Incluso ofreció descuentos especiales para los usuarios de la primera versión de Octo, en un intento por mantener su relevancia en el mercado del malware.
Te podrá interesar leer: Malware Necro Infecta Millones de Dispositivos Android vía Google Play
Actualmente, Octo2 está enfocado en campañas que afectan a varios países europeos, como Italia, Polonia, Moldavia y Hungría. Sin embargo, dado que este malware, ofrecido como un servicio (MaaS), ya ha facilitado ataques a nivel mundial, incluyendo en EE.UU., Canadá, Australia y Oriente Medio, es muy probable que pronto se extienda a otras regiones.
En estas campañas europeas, los atacantes utilizan aplicaciones falsas de NordVPN y Google Chrome para engañar a los usuarios, junto con una app llamada "Europe Enterprise", que parece ser un señuelo especialmente diseñado para ataques dirigidos. Octo2 aprovecha un servicio llamado Zombider para incrustar su carga maliciosa en estos APKs, evadiendo las restricciones de seguridad impuestas por Android 13 y versiones posteriores.
En cuanto a mejoras, Octo2 no es una reinvención total del malware original, sino una evolución progresiva que refina su estabilidad y efectividad. Una de las novedades más curiosas es la configuración de "baja calidad" en su módulo de acceso remoto (RAT), llamada "SHIT_QUALITY". Esta opción reduce al mínimo las transmisiones de datos, haciendo que el malware funcione sin problemas incluso cuando las conexiones a Internet son lentas o inestables.
Además, Octo2 complica aún más su detección utilizando técnicas avanzadas de evasión. Descifra su carga útil a través de código nativo y carga dinámicamente bibliotecas adicionales durante su ejecución, lo que dificulta enormemente el análisis del malware por parte de los sistemas de seguridad. También incorpora un sistema de generación de dominios (DGA) que le permite actualizar y cambiar rápidamente sus servidores de control, burlando las listas de bloqueo y mejorando su capacidad de resistencia frente a intentos de eliminación.
Otra característica importante es que Octo2 ahora incluye una lista de aplicaciones específicas a las que puede interceptar y bloquear notificaciones push, lo que le permite apuntar mejor a los dispositivos infectados y aumentar su efectividad.
Hasta ahora, Octo2 no ha sido detectado en Google Play, lo que sugiere que su distribución está limitada a tiendas de aplicaciones de terceros. Por esta razón, es fundamental que los usuarios de Android se mantengan alejados de fuentes no oficiales para evitar la descarga de aplicaciones potencialmente maliciosas.
Conoce más sobre: Troyanos de Acceso Remoto: Software Malicioso (RAT)
El malware Octo representa una amenaza significativa para los usuarios de Android, especialmente debido a su capacidad para disfrazarse como aplicaciones legítimas y populares como NordVPN y Google Chrome. La mejor forma de defenderte contra esta amenaza es ser proactivo en tu enfoque de seguridad: descarga aplicaciones solo de fuentes confiables, mantén tu dispositivo actualizado y utiliza herramientas de seguridad para protegerte.