L’ambiente del sistema operativo Android non sembra conoscere tregua, con gli utenti del robottino verde che, dopo esser stati messi in guardia dal redivivo virus Sharkbot, hanno ricevuto la brutta notizia secondo cui devono guardarsi le spalle nuovamente anche dal tristemente noto trojan Octo.
Secondo l’azienda olandese ThreatFabric, attiva nel proteggere i suoi clienti da minacce e frodi online, il tentacolare (essendo un diminutivo di Octopussy, piovra) Octo, già scovato a Febbraio nella popolare (50mila installazioni) app libera memoria “Fast Cleaner”, ma anche un un sito web che prometteva all’utente di poter comprare materiale metallico in disuso a buon prezzo (a patto di aggiornare il browser, in modo da infettarlo), è un RaT, o trojan ad accesso remoto, attualmente in vendita in alcuni forum del dark web ad opera di un utente che si fa chiamare di volta in volta come “good luck” o “Architect”.
Gli esperti ritengono (anche per la sua capacità di creare difficoltà al reverse engineering) che tale virus sia imparentato sia col malware Exobot avvistato nel 2016, che con la relativa evoluzione ExoCompact, di cui è stato divulgato il sorgente nel 2018: rispetto alle origini, però, ora sono presenti funzioni di on-device fraud, ODF, come il poter manipolare altre app, il compromettere app di gestione delle password o quelle dei portafogli digitali di criptovalute e quelle di home banking, aggirando anche l’autenticazione a due fattori.
Il modo in cui Octo agisce trova fondamento nell’acquisizione dei servizi di accessibilità: a quel punto, il virus abbassa a zero la luminosità dello schermo, e tacita le notifiche attivando la “modalità non disturbare“, per far risultare il device come spento e non far notare alla vittima cosa stia facendo l’hacker, collegato in remoto tramite il modulo MediaProjection che permette di trasmettere ad alta frequenza lo schermo del tablet o smartphone compromesso.
In seguito, il virus monitora il comportamento della vittima sia online che off-line, carpendo via keylogging tutto quel che digita, per esfiltrare login degli account email, PIN, password bancarie, etc, mettendo anche in pratica la gestione degli SMS, sia per abbonare l’utente a servizi a pagamento, che per cancellarne le tracce (anche delle password reimpostate). Ad oggi non è noto se sul Play Store vi siano nuovamente app infettate da Octo ma, nel dubbio, è bene controllare spesso che il Play Protect sia attivo, scaricare le app solo da fonti affidabili, dopo aver comunque dato una scorsa alle relative recensioni ed alla reputazione degli sviluppatori.