Octo Banking Trojan

Cybersecurity-onderzoekers waren in staat om de sporen van een andere krachtige Android banking-trojan te achterhalen. De dreiging is opgespoord als Octo en maakt volgens de analyse van malwareonderzoekers deel uit van een mobiele malwarefamilie die bekend staat als Exobot. Meer specifiek lijkt Octo een herziene versie van de ExobotCompact-dreiging te zijn. Deze rebranding is mogelijk gedaan door cybercriminelen, in een poging om de nieuwe varianten te presenteren als gloednieuwe, bedreigende creaties en ze te distantiëren van het feit dat de broncode van Exobot is gelekt.

Loktoepassingen

De Octo-dreiging werd verspreid via corrupte applicaties die als druppelaars fungeren. Sommige applicaties waren een tijdje beschikbaar in de Google Play Store, waar ze meer dan 50 duizend downloads wisten te verzamelen. De operators van Octo gebruikten ook misleidende websites en landingspagina's die de applicaties op de apparaten van het slachtoffer lieten vallen, onder het mom van browserupdates. De frauduleuze applicaties deden zich voor als applicatie-installatieprogramma's, schermrecorders en financiële applicaties. Enkele van de geïdentificeerde applicaties die de Octo-dreiging leveren, zijn Pocket Screencaster (com.moh.screen), Fast Cleaner 2021 (vizeeva.fast.cleaner), Postbank Security (com.carbuildz), BAWAG PSK Security (com.frontwonder2), Play Store app-installatie (com.theseeye5), enz.

Dreigende mogelijkheden

Gebruikers zouden worden gevraagd om Accessibility Services-machtigingen te verlenen aan de frauduleuze programma's. Een andere legitieme service die door Octo wordt uitgebuit, is de MediaProjection-API van Android. Het stelt de dreiging in staat om de inhoud van het scherm van het apparaat in realtime vast te leggen. In de praktijk betekent dit dat Octo on-device fraude (ODF) automatisch kan uitvoeren zonder handmatige tussenkomst van zijn operators. De dreiging kan overlay-aanvallen uitvoeren op meerdere financiële en bancaire applicaties om de inloggegevens van de gebruiker te verkrijgen. Octo kan ook keylogging-routines instellen, contactgegevens verzamelen, afstandsbediening over het apparaat krijgen en meer. De dreiging is ook uitgerust met ontwijkingstechnieken om detectie moeilijker te maken en met persistentiemechanismen om zijn langdurige aanwezigheid op de gecompromitteerde apparaten te garanderen.