Redazione RHC : 25 Settembre 2024 16:09
In Europa si sta diffondendo una nuova variante del malware Android chiamata Octo2, che è una versione migliorata di Octo (ExobotCompact). Secondo gli esperti di ThreatFabric, la nuova versione potrebbe avere un impatto significativo sul panorama della sicurezza informatica.
Octo2 è un aggiornamento di un malware popolare tra i criminali informatici, distribuito secondo il modello Malware-as-a-Service (MaaS). Questa versione presenta funzionalità migliorate per il controllo remoto dei dispositivi delle vittime e l’uso di nuovi metodi di camuffamento, inclusa la generazione di nomi di dominio (DGA), che consente di aggirare i meccanismi di sicurezza e non essere rilevati.
La famiglia Exobot è stata notata per la prima volta nel 2016 come trojan bancario in grado di eseguire attacchi di overlay di interfaccia e intercettare chiamate e messaggi. Nel 2019 è apparsa una versione leggera di ExobotCompact e già nel 2021 la sua variante migliorata chiamata Octo. È stata questa versione a diventare la base per ulteriori modifiche.
Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Nel 2022, i criminali informatici hanno discusso attivamente di Octo nei forum clandestini. Da allora l’attività del malware non ha fatto altro che aumentare e presto ha cominciato ad essere utilizzato in diverse regioni del mondo, tra cui Europa, Stati Uniti e Asia.
Il cambiamento principale nel 2024 è dovuto alla fuga del codice sorgente di Octo, che ha portato a diversi fork del programma. Tuttavia, la minaccia più grande è l’originale Octo2, sviluppato dal creatore di Octo e distribuito a coloro che in precedenza utilizzavano la prima versione.
Octo2 ha ricevuto aggiornamenti significativi, inclusi miglioramenti alla stabilità della gestione remota dei dispositivi e metodi per aggirare i sistemi di rilevamento e analisi. Octo2 dispone anche di un sistema che permette di intercettare le notifiche push provenienti dai dispositivi delle vittime e di nasconderle, privando così gli utenti di avvisi importanti. Ciò rappresenta una minaccia per molte applicazioni mobili poiché gli aggressori possono facilmente reindirizzare i dati ed eseguire attività fraudolente.
Le prime campagne con Octo2 sono già state registrate in paesi come Italia, Polonia, Moldavia e Ungheria. Il malware si maschera da applicazioni popolari come Google Chrome e NordVPN, permettendogli di intrufolarsi nei dispositivi degli utenti senza essere notato.
Nelle campagne rilevate, il servizio Zombinder funge da prima fase di installazione: dopo il lancio, Zombinder richiede l’installazione di un “plugin” aggiuntivo, che in realtà è Octo2, aggirando così con successo le restrizioni di Android 13+. Zombinder richiede l’autorizzazione per installare un “plug-in richiesto” sotto forma di trojan Octo2
Uno degli elementi chiave di Octo2 è stata l’integrazione di un nuovo metodo di generazione dei nomi di dominio (Domain Generation Algorithm, DGA), che consente al malware di cambiare dinamicamente i server di controllo (C2). Ciò rende difficile per i ricercatori e le aziende antivirus poiché i nuovi domini vengono creati automaticamente, rendendoli più difficili da bloccare.
Inoltre, Octo2 utilizza un nuovo sistema di crittografia dei dati trasmessi ai server di controllo, con una chiave dinamica per ogni richiesta, che migliora la protezione dall’analisi e dal rilevamento.
Considerando il suo migliore accesso remoto e le sue capacità invisibili, Octo2 rappresenta una seria minaccia per gli utenti mobili, in particolare quelli che utilizzano applicazioni bancarie. Il programma è in grado di eseguire silenziosamente operazioni fraudolente direttamente sul dispositivo della vittima, il che rende il malware uno dei trojan mobili più pericolosi.
Il ransomware HellCat è apparso nella seconda metà del 2024 e ha attirato l’attenzione degli analisti grazie all’umorismo delle sue dichiarazioni pubbliche. Ricordiamo l’...
Il 28 marzo 2025, un utente del noto forum di cybersecurity BreachForums, con lo pseudonimo ThinkingOne, ha rivelato quello che potrebbe essere il più grande data breach mai registrato nel mondo ...
Quando Jeffrey Goldberg dell’Atlantic ha fatto trapelare accidentalmente un messaggio di gruppo privato di alti funzionari statunitensi su un possibile attacco contro gli Houthi nello Yemen, ha...
Ogni mese diventa sempre più evidente: le password non funzionano più. Gli hacker hanno imparato a eludere anche la protezione a due fattori sfruttando sessioni rubate e milioni di dati comp...
La pseudonimizzazione è una tecnica di protezione dei dati definita dall’art. 4(5) del GDPR. Consiste nella trasformazione dei dati personali in modo tale che non possano più essere a...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006