Un nuovo malware sta rubando dati bancari e svolge attività dannose su telefoni e tablet Android. Octo è uno strumento in grado di “dirottare” i dispositivi e commettere frodi attraverso l’accesso remoto utilizzando le risorse del sistema operativo di Google, come sottolineano gli esperti di Threat Fabric.
Octo è caratterizzato dall’impostazione del livello di luminosità dello schermo a zero e dal silenziamento delle notifiche attivando la modalità “Non disturbare”, facendo pensare alla vittima che il proprio dispositivo sia spento e non possa vedere cosa stanno facendo i criminali, cosa che potrebbe includere la navigazione, il data mining, l’utilizzo di app e altro.
Questo RAT (“Remote Administration Tool”) utilizza il modulo MediaProjection di Android, in grado di far trasmettere lo schermo dello smartphone o del tablet a una frequenza relativamente alta – un frame al secondo -, sufficiente agli hacker per manipolare il dispositivo a distanza.
Oltre a questo, Octo è anche in grado di tracciare il comportamento degli utenti, sia sul Web che offline e di registrare voci di sistema come password bancarie, account e-mail e PIN. Inoltre, i messaggi SMS possono essere intercettati per consentire agli hacker di reimpostare le password e abbonarsi ai servizi per conto della vittima.
Si ritiene che questo malware derivi da ExoCompact, un trojan che ha causato danni dopo la divulgazione del codice sorgente nel 2018. Attualmente, il malware viene venduto sui forum del dark web da un individuo con gli alias “Architect” e “good luck”.
A febbraio, gli esperti di sicurezza informatica hanno trovato Octo in un’app chiamata “Fast Cleaner” sul Google Play Store che aveva oltre 50.000 installazioni.
Il malware è stato scoperto anche su siti Web progettati per attirare l’attenzione delle vittime. In un caso, una pagina affermava di acquistare per un buon importo oggetti di metallo in disuso, ma richiedeva all’utente di “aggiornare” il browser. Facendo clic sul collegamento visualizzato, è stato scaricato un file infetto.
Attacchi di questo tipo stanno diventando sempre più comuni con l’aumento del traffico attraverso i dispositivi mobili. Si consiglia all’utente di verificare che Play Protect sia abilitato frequentemente, nonché di evitare di installare applicazioni da fonti dubbie che non sono disponibili su Google Play Store.
