Nova versão do malware Octo imita Nord VPN e Google Chrome

Uma nova versão do malware Octo Android, nomeado de Octo2, tem-se espalhado pela Europa disfarçado de NordVPN, Google Chrome e uma aplicação chamada Europe Enterprise.

Esta variante tem uma estabilidade operacional maior, mecanismos anti-análise e anti-deteção mais avançados, e um algoritmo de produção de domínio (DGA) para comunicações de comando e de controlo (C2).

A primeira versão do Octo, um malware banking Trojan para sistemas Androind, foi descoberta pela ThreatFabric em abril de 2022, através de aplicações de limpeza falsas no Google Play. O relatório da época destacou os recursos presentes no dispositivo de malware que possibilitaram que os operadores do mesmo tivessem um acesso amplo aos dados da vítima.

Por entre as diversas funcionalidades de que disponha, a primeira variante do malware suportava kylogging, navegação dentro do dispositivo, a interação através de SMS e notificações, bloqueio do ecrã, silenciamento do dispositivo, abertura de aplicações e a utilização de dispositivos infetados para distribuição de SMS.

As campanhas atuais que recorrem ao Octo2 estão centradas na Itália, Polónia, Moldávia e Hungria. Contudo, a plataforma Octo Malware-as-a-Service (MaaS) facilitou ataques em todo o mundo, o que inclui ataques nos EUA, Canadá Austrália e Médio Oriente.