Una nuova variante del malware Octo, denominata Octo2, ha iniziato a colpire le banche europee. Questo malware, appartenente al ceppo di ExobotCompact, rappresenta una seria minaccia per la sicurezza finanziaria.
Evoluzione del malware
La famiglia di malware Exobot è stata osservata per la prima volta nel 2016. Si trattava di un trojan bancario capace di eseguire attacchi overlay e controllare chiamate, SMS e notifiche push. Nel 2019 è stata introdotta una nuova versione light, chiamata ExobotCompact, che ha mantenuto la maggior parte delle funzionalità del suo predecessore. Nel 2022, è emersa una nuova variante chiamata Octo (reclamata dallo sviluppatore Architet), che ha mostrato un aumento significativo delle attività e delle campagne di attacco. Infine nel 2024, il codice sorgente di Octo è stato trapelato, portando alla creazione di più varianti da parte di altri attori di minacce. Solo successivamente lo stesso sviluppatore di Octo come rivalsa ha rilasciato la nuova variante Octo2.
Caratteristiche del malware Octo2
Secondo l’analisi condotta da ThreatFabric l’autore del malware (Architet) con un aggiornamento della sua prima versione avrebbe introdotto una nuova impostazione per la sessione remota (“SHIT_QUALITY”) per ridurre al minimo le trasmissioni dati e migliorare l’affidabilità della connessione mentre per migliorare l’offuscamento e l’evasione avrebbe previsto un caricamento dinamico delle librerie aggiuntive durante l’esecuzione, una decrittografia del payload tramite codice nativo e un’algoritmo di generazione di domini (DGA), migliorando la resilienza contro i tentativi di blocco dei server C2.
Mentre la fase d’installazione delle app malevoli prevederebbe l’impiego di un servizio di terze parti Zombider per aggirare le restrizioni di sicurezza di Android 13 e le versioni successive, durante la configurazione iniziale delle app (“block_push_apps“) il server C2 invia a Octo2 un elenco di nomi di app target da cercare sui dispositivi infetti, in modo da intercettare furtivamente le relative notifiche push, qualora in esecuzione.
Le campagne europee
Questo malware è in grado di eseguire attacchi complessi che possono compromettere seriamente la sicurezza delle istituzioni finanziarie e sono state osservate nuove campagne Octo2 in vari paesi europei, dimostrando la sua diffusione e l’efficacia degli attacchi.
“La nostra Threat Intelligence mostra che i primi campioni di Octo2 scoperti in natura sono stati visti in Italia, Polonia, Moldavia e Ungheria.”, spiega il rapporto, “Questi campioni delle prime campagne osservate si mascheravano da applicazioni Google Chrome, NordVPN e “Enterprise Europe Network” . Tuttavia, come abbiamo detto in precedenza, possiamo aspettarci che gli attori della minaccia dietro Octo2 non limitino la loro attività e continuino a prendere di mira gli utenti di mobile banking in tutto il mondo.”
La scoperta di Octo2 sottolinea l’importanza di rafforzare le misure di sicurezza informatica bancaria contro il malware mobile. È essenziale per utenti e istituti finanziari rimanere vigili e aggiornati sulle nuove minacce per proteggere i dati e prevenire attacchi.