Redazione RHC : 25 Settembre 2024 16:09
In Europa si sta diffondendo una nuova variante del malware Android chiamata Octo2, che è una versione migliorata di Octo (ExobotCompact). Secondo gli esperti di ThreatFabric, la nuova versione potrebbe avere un impatto significativo sul panorama della sicurezza informatica.
Octo2 è un aggiornamento di un malware popolare tra i criminali informatici, distribuito secondo il modello Malware-as-a-Service (MaaS). Questa versione presenta funzionalità migliorate per il controllo remoto dei dispositivi delle vittime e l’uso di nuovi metodi di camuffamento, inclusa la generazione di nomi di dominio (DGA), che consente di aggirare i meccanismi di sicurezza e non essere rilevati.
La famiglia Exobot è stata notata per la prima volta nel 2016 come trojan bancario in grado di eseguire attacchi di overlay di interfaccia e intercettare chiamate e messaggi. Nel 2019 è apparsa una versione leggera di ExobotCompact e già nel 2021 la sua variante migliorata chiamata Octo. È stata questa versione a diventare la base per ulteriori modifiche.
Nel 2022, i criminali informatici hanno discusso attivamente di Octo nei forum clandestini. Da allora l’attività del malware non ha fatto altro che aumentare e presto ha cominciato ad essere utilizzato in diverse regioni del mondo, tra cui Europa, Stati Uniti e Asia.
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber
«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi».
Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.
Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.
Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Il cambiamento principale nel 2024 è dovuto alla fuga del codice sorgente di Octo, che ha portato a diversi fork del programma. Tuttavia, la minaccia più grande è l’originale Octo2, sviluppato dal creatore di Octo e distribuito a coloro che in precedenza utilizzavano la prima versione.
Octo2 ha ricevuto aggiornamenti significativi, inclusi miglioramenti alla stabilità della gestione remota dei dispositivi e metodi per aggirare i sistemi di rilevamento e analisi. Octo2 dispone anche di un sistema che permette di intercettare le notifiche push provenienti dai dispositivi delle vittime e di nasconderle, privando così gli utenti di avvisi importanti. Ciò rappresenta una minaccia per molte applicazioni mobili poiché gli aggressori possono facilmente reindirizzare i dati ed eseguire attività fraudolente.
Le prime campagne con Octo2 sono già state registrate in paesi come Italia, Polonia, Moldavia e Ungheria. Il malware si maschera da applicazioni popolari come Google Chrome e NordVPN, permettendogli di intrufolarsi nei dispositivi degli utenti senza essere notato.
Nelle campagne rilevate, il servizio Zombinder funge da prima fase di installazione: dopo il lancio, Zombinder richiede l’installazione di un “plugin” aggiuntivo, che in realtà è Octo2, aggirando così con successo le restrizioni di Android 13+. Zombinder richiede l’autorizzazione per installare un “plug-in richiesto” sotto forma di trojan Octo2
Uno degli elementi chiave di Octo2 è stata l’integrazione di un nuovo metodo di generazione dei nomi di dominio (Domain Generation Algorithm, DGA), che consente al malware di cambiare dinamicamente i server di controllo (C2). Ciò rende difficile per i ricercatori e le aziende antivirus poiché i nuovi domini vengono creati automaticamente, rendendoli più difficili da bloccare.
Inoltre, Octo2 utilizza un nuovo sistema di crittografia dei dati trasmessi ai server di controllo, con una chiave dinamica per ogni richiesta, che migliora la protezione dall’analisi e dal rilevamento.
Considerando il suo migliore accesso remoto e le sue capacità invisibili, Octo2 rappresenta una seria minaccia per gli utenti mobili, in particolare quelli che utilizzano applicazioni bancarie. Il programma è in grado di eseguire silenziosamente operazioni fraudolente direttamente sul dispositivo della vittima, il che rende il malware uno dei trojan mobili più pericolosi.
RedazioneL’utilizzo di Linux su desktop e laptop aziendali continua a crescere. Un’analisi di quasi 18,5 milioni di dispositivi ha rilevato che la quota di Linux sui dispositivi aziendali è ...
