حصان طروادة Octo2 المصرفي

تمكن خبراء الأمن السيبراني من التعرف على نسخة محدثة من برنامج Trojan المصرفي الذي يعمل بنظام Android والمعروف باسم Octo. وقد تم تعزيز هذه النسخة الآن بميزات متقدمة لتسهيل الاستيلاء على الجهاز (DTO) وتمكين المعاملات الاحتيالية.

وقد تم توزيع هذا الإصدار الجديد، الذي أطلق عليه مبتكروه اسم Octo2، في حملات مضللة عبر الدول الأوروبية، بما في ذلك إيطاليا وبولندا ومولدوفا والمجر. وقد عمل المطورون على تحسين استقرار الإجراءات عن بعد المطلوبة لشن هجمات ناجحة للسيطرة على الأجهزة.

ظهور برنامج Octo Mobile الخبيث

تم التعرف على Octo في البداية من قبل الباحثين في أوائل عام 2022 ويُنسب إلى جهة تهديد معروفة باسمي Architect وgoodluck على الإنترنت. وقد تم تقييمه على أنه "سليل مباشر" لبرنامج Exobot الخبيث، والذي تم اكتشافه لأول مرة في عام 2016 وأدى لاحقًا إلى ظهور نوع آخر يسمى Coper في عام 2021.

تم تطوير Exobot من الكود المصدري لفيروس Trojan المصرفي Marche r ، وتم صيانته بنشاط حتى عام 2018، مستهدفًا المؤسسات المالية من خلال حملات مختلفة في المقام الأول في تركيا وفرنسا وألمانيا، بالإضافة إلى أستراليا وتايلاند واليابان. بعد ذلك، تم إصدار نسخة مبسطة تُعرف باسم ExobotCompact بواسطة الجهة الفاعلة التي تُعرف باسم "android" على منتديات الويب المظلم.

التطبيقات التي تحمل Trojan المصرفي Octo2

تتضمن العديد من التطبيقات الضارة المرتبطة بـ Octo2 Europe Enterprise (com.xsusb_restore3)، وGoogle Chrome (com.havirtual06numberresources)، وNordVPN (com.handedfastee5).

تستخدم تطبيقات Android المارقة هذه، التي توزع البرامج الضارة، خدمة معروفة لربط ملفات APK تسمى Zombinder. تتيح هذه الخدمة تحويل التطبيقات المشروعة إلى أحصنة طروادة، مما يسمح لها بتنزيل البرامج الضارة الفعلية (في هذه الحالة، Octo2) بحجة تثبيت "مكون إضافي ضروري".

في الوقت الحالي، لا يوجد دليل يشير إلى انتشار Octo2 عبر متجر Google Play، مما يعني أن المستخدمين إما يقومون بتنزيل هذه التطبيقات من مصادر غير موثوقة أو يتم خداعهم لتثبيتها من خلال تكتيكات الهندسة الاجتماعية.

مع تسريب الكود المصدري الأصلي لبرنامج Octo الخبيث وإتاحته بسهولة لمختلف الجهات الفاعلة في التهديد، يعمل Octo2 على تعزيز هذه القاعدة بإمكانيات وصول عن بعد أكثر قوة وتقنيات تشويش متقدمة.

تم تجهيز Octo2 بقدرات تهديد موسعة

ومن التطورات المهمة الأخرى تطور Octo إلى نموذج Malware-as-a-Service (MaaS)، وفقًا لفريق Cymru. يسمح هذا التحول للمطورين بالاستفادة من خلال توفير البرامج الضارة لمجرمي الإنترنت الذين يسعون إلى إجراء عمليات سرقة المعلومات.

في إطار الترويج للتحديث، أعلن مالك Octo أن Octo2 سيكون متاحًا لمستخدمي Octo1 الحاليين بنفس السعر مع خيارات الوصول المبكر. ويتوقع باحثو الأمن المعلوماتي أن أولئك الذين كانوا يستخدمون Octo1 سابقًا سينتقلون إلى Octo2، وبالتالي زيادة حضوره في مشهد التهديدات العالمية.

أحد التحسينات الرئيسية في Octo2 هو تنفيذ خوارزمية إنشاء المجال (DGA) لتوليد أسماء خادم القيادة والتحكم (C2)، إلى جانب التحسينات في الاستقرار العام وتقنيات مكافحة التحليل.

يوفر استخدام نظام C2 المستند إلى DGA ميزة كبيرة، مما يسمح للجهات الفاعلة في مجال التهديد بالتبديل بسرعة إلى خوادم C2 جديدة، مما يقلل من فعالية قوائم حظر أسماء النطاقات ويعزز المرونة ضد جهود الإزالة المحتملة.

إن قدرة هذا الإصدار على تنفيذ عمليات احتيال على الجهاز دون أن يتم اكتشافها والتقاط معلومات حساسة، إلى جانب إمكانية تخصيصه بسهولة لمختلف الجهات الفاعلة في التهديد، تزيد من المخاطر التي يتعرض لها مستخدمو الخدمات المصرفية عبر الهاتف المحمول في جميع أنحاء العالم.