El refuerzo de seguridad de Android agrega un nuevo competidor a su categoría de malware: Octo, un software intrusivo recién descubierto que puede incrustarse en cualquier aplicación de Google Play Store para controlar el dispositivo en cualquier momento sin el conocimiento del usuario.

Una vez infectados, los atacantes toman el control del teléfono, como robar las contraseñas de las diferentes aplicaciones bancarias que el usuario tenga instaladas a medida que las ingresa.

Una de las grandes ventajas de Android es que hay tantas opciones que existen al instalar nuevas aplicaciones, lo cual también se convierte en un inconveniente: debido a esta libertad, hay más riesgo de instalar un software que no tiene un buen propósito.

Es algo que aparece casi todas las semanas a medida que aparecen nuevos programas maliciosos. El último tiene un nombre: Octo.

El malware es invisible, autónomo, difícil de detectar y eliminar

Octo puede pasar desapercibido como actualización en una aplicación. Y, de ingresar en un teléfono, abre la puerta para que los atacantes hagan lo que quieran con él.

La investigación realizada por la firma de seguridad Threat Fabric ha revelado cómo este nuevo malware, un tipo de bot, es capaz de infiltrarse en las aplicaciones sin ser detectado por el sistema. Su funcionamiento automático deshabilitando Google Play Protect es una de las primeras medidas de ataque.

Luego superpone aplicaciones para registrar las pulsaciones de teclas, abrir una ventana en el teléfono y habilitar la interacción remota. Todo lo que el usuario no puede notar.

Octo, el nombre que el desarrollador le dio al malware, es parte de la familia ExoBot, un tipo de malware que ha evolucionado desde su desarrollo en 2016.

Con la integración de Octo en las aplicaciones utilizadas como gancho, el malware abre una sesión VNC (Computación de red virtual) con el panel de ataque para transmitir la pantalla por streaming; mientras usa herramientas de accesibilidad para capturar y simular toques de panel.

Debido a que Octo se superpone con el resto de aplicaciones sin que el usuario se dé cuenta, un atacante puede observar de forma remota cómo introduce las contraseñas de las aplicaciones bancarias.

También puede rastrear códigos SMS de verificación en dos pasos, ver contactos de WhatsApp y otra información privada.

Threat Fabric afirma que Octo ha sido explotado en una variedad de aplicaciones, algunas en Google Play. Y tiene como objetivo vulnerar la seguridad de la mayoría de las aplicaciones bancarias, una indicación de los enormes peligros del malware.

Cómo acceder al modo seguro para borrar apps sospechosas de espionaje en Android

Cuando se reinicia el celular en Modo seguro, se deshabilitan todas las aplicaciones de terceros y permite eliminar apps que de otro modo no se podrían borrar. Cabe señalar que esto no funcionará si el software malicioso tuvo acceso root al sistema.

Para iniciar en modo seguro hay que presionar el botón de apagado hasta que aparezca esa alternativa. En algunos modelos al presionar el botón de apagado aparece la opción Apagar y hay que volver a presionar allí hasta que aparezca la leyenda Modo Seguro y luego volver a hacer clic sobre esa opción.

Luego se debe ir hasta Configuración y allí ingresar a Aplicaciones. Se verá un listado con todas las apps de descargas. Hay que verificar si se encuentra alguna con nombre extraño o que no se recuerde haber descargado y eliminarla.

Antes de hacerlo, conviene hacer una búsqueda para saber qué se está quitando del dispositivo y evitar desinstalar algún programa útil que podría afectar su correcto funcionamiento.

En caso de que haya alguna sospecha que no se pueda quitar, hay que ingresar a Configuración o Ajustes/Bloqueo y Seguridad/Otros ajustes de seguridad/Administración del dispositivo. Allí se debe desactivar el acceso del programa sospechoso.

En caso de que nada de esto funcione, se puede recurrir a hacer una copia de toda la información del celular y hacer una restauración de fábrica dentro del menú de Ajustes.