Pesquisadores de segurança cibernética descobriram uma nova versão do trojan bancário para Android chamado Octo, agora aprimorado com capacidades avançadas de tomada de controle de dispositivos (DTO) e execução de transações fraudulentas.

Denominada Octo2 pelo autor do malware, essa nova versão está sendo distribuída em campanhas focadas em países europeus, como Itália, Polônia, Moldávia e Hungria. Aplicativos maliciosos contendo o Octo2 foram encontrados, incluindo falsos como Europe Enterprise e Google Chrome.

O Octo, originalmente identificado em 2022, é considerado uma evolução direta do malware Exobot, que foi detectado pela primeira vez em 2016 e já originou variantes como o Coper em 2021. O Octo é distribuído através de uma operação de malware-as-a-service (MaaS), na qual outros cibercriminosos podem alugar o malware para realizar ataques. Isso tem permitido que o desenvolvedor do Octo2 monetizasse seu software de forma mais ampla.

Segundo os pesquisadores, o lançamento do Octo2 pode levar os operadores do Octo1 a migrarem para a versão mais recente, expandindo a presença do trojan globalmente.

Uma das grandes inovações do Octo2 é o uso de um algoritmo de geração de domínio (DGA), que facilita a criação de novos nomes de servidores de comando e controle (C2). Isso torna mais difícil para as autoridades bloquearem os domínios usados pelos cibercriminosos, aumentando a resiliência do malware contra tentativas de derrubada.

Os aplicativos Android distribuindo o Octo2 foram criados usando um serviço conhecido como Zombinder, que permite “trojanizar” aplicativos legítimos, fazendo com que instalem o malware sob o disfarce de um “plugin necessário”.