Un nuovo malware sta corrompendo milioni di dispositivi Android e può prendere controllo del dispositivo utilizzando le funzionalità di accesso remoto.
Denominato Octo, il malware è in grado di assumere il controllo del dispositivo ed eseguire comandi remoti su di esso, compromettendo informazioni importanti, inclusi i dettagli bancari dell’utente.
Octo è stato individuato dai ricercatori di ThreatFabric, con un seguente rapporto che indica come il malware viene diffuso attraverso i forum darknet e diversi attori delle minacce stanno cercando di acquistarlo. Il rapporto afferma che il malware Octo Android si è evoluto da ExoCompact, un’altra variante del malware basata sul trojan Exo il cui codice sorgente è trapelato nel 2018.
La grande differenza tra i due, come evidenziato in un nuovo rapporto di BleepingComputer, è che Octo viene fornito con un modulo avanzato di accesso remoto. Questo modulo aiuta gli hacker a eseguire frodi, poiché consente loro di controllare da remoto il dispositivo Android compromesso tramite un modulo di streaming dello schermo live che viene aggiornato ogni secondo.
Una volta posizionato su un dispositivo compromesso, Octo utilizza uno schermo nero in sovrimpressione per nascondere le operazioni remote eseguite sul dispositivo. Insieme all’overlay, il malware imposta la luminosità dello schermo a zero e disabilita tutte le notifiche del dispositivo attivando la modalità “nessuna interruzione”.
Sembra quindi che il dispositivo sia spento, lasciando il proprietario del dispositivo all’oscuro di ciò che sta accadendo all’interno. Nel frattempo, il malware è in grado di eseguire comandi da remoto.
Ecco come funziona il malware
Alcune di queste attività che il malware è in grado di eseguire includono “tocchi sullo schermo, gesti, scrittura di testo, modifica degli appunti, e molto altro.
Oltre al sistema di accesso remoto, Octo dispone anche di un potente keylogger in grado di monitorare e catturare tutte le azioni delle vittime sui dispositivi Android infetti. Questo elenco di comandi si estende per includere le notifiche push bloccate, l’intercettazione di SMS, il blocco temporaneo dello schermo, la disattivazione del suono, l’avvio remoto dell’applicazione, l’avvio/arresto della sessione di accesso remoto, l’apertura di un URL specificato e persino l’invio di SMS a un numero di telefono specifico.
La funzione più subdola del malware Octo è che trasporta un potente keylogger, che può essere utilizzato per monitorare e registrare tutte le azioni dell’utente sui dispositivi Android infetti. Utilizzando il keylogger, un hacker può registrare i PIN inseriti dall’utente o i siti web aperti o gli elementi cliccati sul sistema, fornendo essenzialmente informazioni cruciali che possono essere utilizzate per commettere crimini.