Bankovní trojan Octo2
Odborníci na kybernetickou bezpečnost identifikovali aktualizovanou variantu trojského koně Android banking známého jako Octo. Tato varianta je nyní vylepšena o pokročilé funkce pro usnadnění převzetí zařízení (DTO) a umožnění podvodných transakcí.
Tato nová verze, kterou její tvůrci nazvali Octo2, byla distribuována v zavádějících kampaních napříč evropskými národy, včetně Itálie, Polska, Moldavska a Maďarska. Vývojáři pracovali na zlepšení stability vzdálených akcí potřebných pro úspěšné útoky na převzetí zařízení.
Obsah
Vznik malwaru Octo Mobile
Octo byl původně identifikován výzkumníky na začátku roku 2022 a je připisován aktérovi hrozby známému pod online aliasy Architect a goodluck. Byl vyhodnocen jako „přímý potomek“ malwaru Exobot , který byl poprvé detekován v roce 2016 a později dal vzniknout další variantě s názvem Coper v roce 2021.
Exobot, vyvinutý ze zdrojového kódu bankovního trojského koně Marche r , byl aktivně udržován až do roku 2018 a cílil na finanční instituce prostřednictvím různých kampaní především v Turecku, Francii, Německu a také Austrálii, Thajsku a Japonsku. V návaznosti na to byla vydána zjednodušená verze známá jako ExobotCompact, která byla vydána aktérem hrozby označovaným jako „android“ na temných webových fórech.
Aplikace nesoucí trojského koně Octo2 Banking
Několik škodlivých aplikací spojených s Octo2 zahrnuje Europe Enterprise (com.xsusb_restore3), Google Chrome (com.havirtual06numberresources) a NordVPN (com.handedfastee5).
Tyto podvodné aplikace pro Android, které distribuují malware, využívají známou službu vazby APK s názvem Zombinder. Tato služba umožňuje trojanizaci legitimních aplikací a umožňuje jim stáhnout skutečný malware (v tomto případě Octo2) pod záminkou instalace „nezbytného pluginu“.
V současné době neexistují žádné důkazy, které by naznačovaly, že se Octo2 šíří prostřednictvím Obchodu Google Play, což znamená, že uživatelé tyto aplikace buď stahují z nespolehlivých zdrojů, nebo jsou podvedeni k jejich instalaci prostřednictvím taktiky sociálního inženýrství.
Vzhledem k tomu, že zdrojový kód původního malwaru Octo již unikal a je snadno dostupný různým aktérům hrozeb, Octo2 tuto základnu vylepšuje o ještě robustnější možnosti vzdáleného přístupu a pokročilé techniky zmatku.
Octo2 je vybaven rozšířenými schopnostmi hrozeb
Dalším významným pokrokem je vývoj Octo na model Malware-as-a-Service (MaaS), podle týmu Cymru. Tento posun umožňuje vývojářům profitovat z poskytování malwaru kyberzločincům, kteří chtějí provádět operace krádeže informací.
Při propagaci aktualizace vlastník Octo oznámil, že Octo2 bude k dispozici stávajícím uživatelům Octo1 za stejnou cenu s možnostmi předběžného přístupu. Výzkumníci společnosti Infosec předpokládají, že ti, kteří dříve používali Octo1, přejdou na Octo2, čímž se zvýší její přítomnost v prostředí globálních hrozeb.
Jedním z klíčových vylepšení Octo2 je implementace Domain Generation Algorithm (DGA) pro generování názvů serverů Command-and-Control (C2) spolu s vylepšeními celkové stability a antianalýzových technik.
Využití systému C2 založeného na DGA poskytuje významnou výhodu, která umožňuje aktérům hrozeb rychle přejít na nové servery C2, což snižuje efektivitu seznamů blokovaných doménových jmen a zvyšuje odolnost proti potenciálnímu úsilí o odstranění.
Schopnost této varianty provádět nedetekované podvody na zařízení a získávat citlivé informace v kombinaci s jejím snadným přizpůsobením pro různé aktéry hrozeb zvyšuje riziko pro uživatele mobilního bankovnictví po celém světě.
