MADRID, 11 (Portaltic/EP)
Exobot, uno de los troyanos bancarios más conocidos, que fue descubierto en 2016, ha evolucionado y se ha convertido en otro denominado Octo, que es capaz de trabajar de forma oculta, en un segundo plano y en dispositivos Android sin que el usuario lo perciba.
Han sido los investigadores de los servicios de asistencia informáticos ThreatFabric quienes han observado el nacimiento de esta nueva variente de ‘malware’ basado en el troyano ExobotCompact.
Recomendados
¿Por qué la familia no quiere revelar quién es la cuarta víctima del puente de Baltimore?
:quality(70):focal(422x415:432x425)/cloudfront-us-east-1.images.arcpublishing.com/metroworldnews/BGJM5SIVYBGSHEY6Z2SBZH6FPE.jpg)
Joe Biden y su esposa Jill declaran ingresos de 620.000 dólares, un 7% más que el año pasado
:quality(70)/cloudfront-us-east-1.images.arcpublishing.com/metroworldnews/N7BQD6MFFFGG5AOVZBRMJQVNPM.jpg)
Planeta recién descubierto podría explicar cómo se formó la Tierra
:quality(70)/cloudfront-us-east-1.images.arcpublishing.com/metroworldnews/KWMLPV6KPJHWZAQ57RATX5BNCA.jpg)
Este troyano fue advertido por primera vez en 2016, estaba basado en el código fuente del troyano bancario Marcher y dirigió sus ataques a instituciones financieras con una variedad de campañas diversificadas en Turquía, Francia, Alemania, Tailandia y Japón.
A pesar de que cesó su actividad en 2018, los investigadores han hallado conexiones con un nuevo ‘malware’ denominado Octo. En concreto, han observado que varios usuarios buscaban adquirirlo en foros de la red oscura o ‘darknet’ como XSS, de origen ruso.
En uno de estos foros se confirmó dicha conexión, cuando uno de sus miembros desenmascaró al propietario de la ‘botnet’ Octo, conocido en la comunidad como ‘Architect’, quien confirmó en marzo que era propietario de este ‘malware’.
Según ha publicado la compañía, la nueva característica significativa de Octo, en comparación con la versión ExobotCompact, es su módulo de acceso remoto avanzado. Este permite a los ciberdelincuentes realizar fraudes en los dispositivos Android, controlándolos de forma remota.
Este acceso remoto se proporciona a través de un módulo de transmisión de pantalla en directo, mediante el servicio MediaProjection de dicho sistema operativo, así como AccesibilityService.
En concreto, este nuevo ‘malware’ utiliza una superposición de pantalla negra para ocultar las operaciones que realiza en remoto. Así, establece el brillo de la pantalla en cero y desactiva todas las notificaciones mediante el modo ‘sin interrupción’.
Haciendo como si el teléfono estuviese inactivo o apagado, el ‘malware’ puede realizar tareas sin que la víctima tenga conocimiento de ellas, como pueden ser la escritura de textos o la modificación del portapapeles.
Junto con el acceso remoto del sistema, este ‘software’ malicioso integra un sistema que registra los movimientos de las teclas y monitoriza todas las acciones de las víctimas en sus teléfonos móviles.
De esa forma, puede acceder fácilmente a información confidencial, como los números PIN que hayan sido ingresados previamente o información de páginas web, así como modificar los datos y la información que estas contengan.
Entre algunos de los comandos a los que tiene acceso una vez ha infectado el dispositivo Android destacan el bloqueo de notificaciones automáticas de aplicaciones específicos, el envío de SMS o el bloqueo de la pantalla del dispositivo.
Conviene destacar que Octo viene integrado en aplicaciones que forman parte de Play Store, así como en Pocket Screencaster, Fast Cleaner, Postbank Security y BAWAG PSK Security.
