Octo2 банков троянски кон
Експертите по киберсигурност идентифицираха актуализиран вариант на банковия троянски кон за Android, известен като Octo. Този вариант вече е подобрен с разширени функции за улесняване на превземането на устройства (DTO) и активиране на измамни транзакции.
Наречена Octo2 от своите създатели, тази нова версия е била разпространявана в подвеждащи кампании в европейски държави, включително Италия, Полша, Молдова и Унгария. Разработчиците са работили за подобряване на стабилността на дистанционните действия, необходими за успешни атаки за превземане на устройство.
Съдържание
Появата на зловреден софтуер Octo Mobile
Octo първоначално беше идентифициран от изследователи в началото на 2022 г. и се приписва на заплаха, известен с онлайн псевдонимите Architect и goodluck. Той е оценен като „директен потомък“ на зловреден софтуер Exobot , който беше открит за първи път през 2016 г. и по-късно породи друг вариант, наречен Coper през 2021 г.
Разработен от изходния код на банковия Trojan Marche r , Exobot беше активно поддържан до 2018 г., насочен към финансови институции чрез различни кампании предимно в Турция, Франция, Германия, както и Австралия, Тайланд и Япония. След това, опростена версия, известна като ExobotCompact, беше пусната от заплахата, наричана „android“ във форумите на тъмната мрежа.
Приложения, носещи банковия троян Octo2
Няколко опасни приложения, свързани с Octo2, включват Europe Enterprise (com.xsusb_restore3), Google Chrome (com.havirtual06numberresources) и NordVPN (com.handedfastee5).
Тези измамни приложения за Android, които разпространяват зловреден софтуер, използват известна услуга за свързване на APK, наречена Zombinder. Тази услуга позволява троянизацията на легитимни приложения, като им позволява да изтеглят действителния зловреден софтуер (в този случай Octo2) под претекст, че инсталират „необходим плъгин“.
Понастоящем няма доказателства, които да предполагат, че Octo2 се разпространява чрез Google Play Store, което предполага, че потребителите или изтеглят тези приложения от ненадеждни източници, или са измамени да ги инсталират чрез тактики за социално инженерство.
С изходния код на оригиналния зловреден софтуер Octo, който вече е изтекъл и е лесно достъпен за различни заплахи, Octo2 подобрява тази база с още по-стабилни възможности за отдалечен достъп и усъвършенствани техники за обфускация.
Octo2 е оборудван с разширени заплашителни възможности
Друго важно развитие е еволюцията на Octo в модел Malware-as-a-Service (MaaS), според Team Cymru. Тази промяна позволява на разработчика да печели, като предоставя зловреден софтуер на киберпрестъпници, които искат да извършват операции за кражба на информация.
При популяризирането на актуализацията собственикът на Octo обяви, че Octo2 ще бъде достъпен за съществуващите потребители на Octo1 на същата цена с опции за ранен достъп. Изследователите на Infosec очакват, че тези, които преди са използвали Octo1, ще преминат към Octo2, като по този начин ще увеличат присъствието си в глобалния пейзаж на заплахите.
Едно от ключовите подобрения в Octo2 е внедряването на алгоритъм за генериране на домейни (DGA) за генериране на имена на сървъри за командване и управление (C2), заедно с подобрения в цялостната стабилност и техниките за анти-анализ.
Използването на базирана на DGA C2 система осигурява значително предимство, позволявайки на участниците в заплахите бързо да преминат към нови C2 сървъри, което намалява ефективността на списъците за блокиране на имена на домейни и повишава устойчивостта срещу потенциални усилия за сваляне.
Способността на този вариант да извършва незабелязани измами на устройството и да улавя чувствителна информация, съчетана с лесното му персонализиране за различни заплахи, повишава риска за потребителите на мобилно банкиране по целия свят.
