Estas son las “apps” con el troyano Octo que debes eliminar de tu móvil si has descargado

Octo es la evolución del troyano bancario Exobot que surgió en 2016. Permite el control remoto de un dispositivo Android mientras simula que está apagado o inactivo, registra lo que se teclea y monitoriza todas las acciones de la víctima en el móvil infectado

El nuevo troyano identificado por ThreatFabric permite el control remoto del dispositivo infectado.
El nuevo troyano identificado por ThreatFabric permite el control remoto del dispositivo infectado. FOTO: La Razón (Custom Credit) Cortesía de Pathum Danthanarayana / Unsplash.

Los investigadores de los servicios de asistencia informáticos ThreatFabric han identificado una nueva variante de “malware” basada en el troyano ExobotCompact, uno de los troyanos bancarios más conocidos. El nuevo “malware”, Octo, es la evolución de Exobot y permite el control de un dispositivo Android infectado de forma remota, además de trabajar de forma oculta mientras registra la actividad de la víctima. ThreatFabric ha identificado siete aplicaciones con las que se ha distribuido Octo desde Google Play.

Exobot fue advertido por primera vez en 2016, estaba basado en el código fuente del troyano bancario Marcher y dirigió sus ataques a instituciones financieras con una variedad de campañas diversificadas en Turquía, Francia, Alemania, Tailandia y Japón, según recoge Europa Press.

A pesar de que cesó su actividad en 2018, los investigadores han hallado conexiones con un nuevo “malware” denominado Octo. En concreto, han observado que varios usuarios buscaban adquirirlo en foros de la red oscura o “darknet” como XSS, de origen ruso.

En uno de estos foros se confirmó dicha conexión, cuando uno de sus miembros desenmascaró al propietario de la “botnet” Octo, conocido en la comunidad como “Architect”, quien confirmó en marzo que era propietario de este “malware”.

Según ha publicado la compañía, la nueva característica significativa de Octo, en comparación con la versión ExobotCompact, es su módulo de acceso remoto avanzado. Este permite a los ciberdelincuentes realizar fraudes en los dispositivos Android, controlándolos de forma remota. Este acceso remoto se proporciona a través de un módulo de transmisión de pantalla en directo, mediante el servicio MediaProjection de dicho sistema operativo, así como AccesibilityService.

En concreto, este nuevo “malware” utiliza una superposición de pantalla negra para ocultar las operaciones que realiza en remoto. Así, establece el brillo de la pantalla en cero y desactiva todas las notificaciones mediante el modo “sin interrupción”.

Haciendo como si el teléfono estuviese inactivo o apagado, el “malware” puede realizar tareas sin que la víctima tenga conocimiento de ellas, como pueden ser la escritura de textos o la modificación del portapapeles.

Junto con el acceso remoto del sistema, este “software” malicioso integra un sistema que registra los movimientos de las teclas y monitoriza todas las acciones de las víctimas en sus teléfonos móviles. De esa forma, puede acceder fácilmente a información confidencial, como los números PIN que hayan sido ingresados previamente o información de páginas web, así como modificar los datos y la información que estas contengan.

Entre algunos de los comandos a los que tiene acceso el “malware” una vez ha infectado el dispositivo Android destacan el bloqueo de notificaciones automáticas de aplicaciones específicas, el envío de SMS o el bloqueo de la pantalla del dispositivo.

La lista completa de aplicaciones de Android conocidas que contienen el “malware” Octo se enumera a continuación:

  • Pocket Screencaster (com.moh.screen).
  • Fast Cleaner 2021 (vizeeva.fast.cleaner).
  • Play Store (com.restthe71).
  • Postbank Security (com.carbuildz).
  • Pocket Screencaster (com.cutthousandjs).
  • BAWAG PSK Security (com.frontwonder2).
  • Play Store app install (com.theseeye5).