Redazione RHC : 25 Settembre 2024 16:09
In Europa si sta diffondendo una nuova variante del malware Android chiamata Octo2, che è una versione migliorata di Octo (ExobotCompact). Secondo gli esperti di ThreatFabric, la nuova versione potrebbe avere un impatto significativo sul panorama della sicurezza informatica.
Octo2 è un aggiornamento di un malware popolare tra i criminali informatici, distribuito secondo il modello Malware-as-a-Service (MaaS). Questa versione presenta funzionalità migliorate per il controllo remoto dei dispositivi delle vittime e l’uso di nuovi metodi di camuffamento, inclusa la generazione di nomi di dominio (DGA), che consente di aggirare i meccanismi di sicurezza e non essere rilevati.
La famiglia Exobot è stata notata per la prima volta nel 2016 come trojan bancario in grado di eseguire attacchi di overlay di interfaccia e intercettare chiamate e messaggi. Nel 2019 è apparsa una versione leggera di ExobotCompact e già nel 2021 la sua variante migliorata chiamata Octo. È stata questa versione a diventare la base per ulteriori modifiche.
Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Nel 2022, i criminali informatici hanno discusso attivamente di Octo nei forum clandestini. Da allora l’attività del malware non ha fatto altro che aumentare e presto ha cominciato ad essere utilizzato in diverse regioni del mondo, tra cui Europa, Stati Uniti e Asia.
Il cambiamento principale nel 2024 è dovuto alla fuga del codice sorgente di Octo, che ha portato a diversi fork del programma. Tuttavia, la minaccia più grande è l’originale Octo2, sviluppato dal creatore di Octo e distribuito a coloro che in precedenza utilizzavano la prima versione.
Octo2 ha ricevuto aggiornamenti significativi, inclusi miglioramenti alla stabilità della gestione remota dei dispositivi e metodi per aggirare i sistemi di rilevamento e analisi. Octo2 dispone anche di un sistema che permette di intercettare le notifiche push provenienti dai dispositivi delle vittime e di nasconderle, privando così gli utenti di avvisi importanti. Ciò rappresenta una minaccia per molte applicazioni mobili poiché gli aggressori possono facilmente reindirizzare i dati ed eseguire attività fraudolente.
Le prime campagne con Octo2 sono già state registrate in paesi come Italia, Polonia, Moldavia e Ungheria. Il malware si maschera da applicazioni popolari come Google Chrome e NordVPN, permettendogli di intrufolarsi nei dispositivi degli utenti senza essere notato.
Nelle campagne rilevate, il servizio Zombinder funge da prima fase di installazione: dopo il lancio, Zombinder richiede l’installazione di un “plugin” aggiuntivo, che in realtà è Octo2, aggirando così con successo le restrizioni di Android 13+. Zombinder richiede l’autorizzazione per installare un “plug-in richiesto” sotto forma di trojan Octo2
Uno degli elementi chiave di Octo2 è stata l’integrazione di un nuovo metodo di generazione dei nomi di dominio (Domain Generation Algorithm, DGA), che consente al malware di cambiare dinamicamente i server di controllo (C2). Ciò rende difficile per i ricercatori e le aziende antivirus poiché i nuovi domini vengono creati automaticamente, rendendoli più difficili da bloccare.
Inoltre, Octo2 utilizza un nuovo sistema di crittografia dei dati trasmessi ai server di controllo, con una chiave dinamica per ogni richiesta, che migliora la protezione dall’analisi e dal rilevamento.
Considerando il suo migliore accesso remoto e le sue capacità invisibili, Octo2 rappresenta una seria minaccia per gli utenti mobili, in particolare quelli che utilizzano applicazioni bancarie. Il programma è in grado di eseguire silenziosamente operazioni fraudolente direttamente sul dispositivo della vittima, il che rende il malware uno dei trojan mobili più pericolosi.
Lo sviluppo di supercomputer per l’intelligenza artificiale sta entrando in una nuova orbita: in termini di scala, costi e consumi energetici e infrastrutture e megaprogetti. Uno studio condott...
Il 25 Aprile, data simbolo della Liberazione italiana dal fascismo, ci ricorda il valore della libertà, conquistata con il sacrificio di partigiani e combattenti. In un’era dominata dal di...
In un mondo dove ogni giorno si registrano migliaia di attacchi informatici, molte aziende continuano a sottovalutare l’importanza della cybersecurity, affidandosi a “sedicenti esperti&#...
AI, AI e ancora AI. E sembra che l’intelligenza artificiale giorno dopo giorno ci porti innovazioni sia come difesa ma soprattutto, come attacco. L’intelligenza artificiale è gi...
Il collettivo di ricerca in sicurezza informatica HackerHood, parte dell’universo della community di Red Hot Cyber, ha recentemente scoperto due nuove vulnerabilità ...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006