Octo2 Banking Trojan
Cybersikkerhedseksperter har identificeret en opdateret variant af Android-banktrojaneren kendt som Octo. Denne variant er nu forbedret med avancerede funktioner for at lette enhedsovertagelse (DTO) og muliggøre svigagtige transaktioner.
Kaldet Octo2 af dets skabere, denne nye version er blevet distribueret i vildledende kampagner på tværs af europæiske nationer, herunder Italien, Polen, Moldova og Ungarn. Udviklerne har arbejdet på at forbedre stabiliteten af de fjernhandlinger, der kræves for vellykkede enhedsovertagelsesangreb.
Indholdsfortegnelse
Fremkomsten af Octo Mobile Malware
Octo blev oprindeligt identificeret af forskere i begyndelsen af 2022 og tilskrives en trusselsaktør kendt af onlinealiasset Architect og goodluck. Det er blevet vurderet som en 'direkte efterkommer' af Exobot- malwaren, som først blev opdaget i 2016 og senere gav anledning til en anden variant kaldet Coper i 2021.
Udviklet fra kildekoden til banktrojaneren Marche r , blev Exobot aktivt vedligeholdt indtil 2018, målrettet mod finansielle institutioner gennem forskellige kampagner primært i Tyrkiet, Frankrig, Tyskland samt Australien, Thailand og Japan. Efter dette blev en strømlinet version kendt som ExobotCompact udgivet af trusselsaktøren omtalt som 'android' på mørke webfora.
Applikationer, der bærer Octo2 Banking Trojan
Adskillige skadelige applikationer forbundet med Octo2 inkluderer Europe Enterprise (com.xsusb_restore3), Google Chrome (com.havirtual06numberresources) og NordVPN (com.handedfastee5).
Disse useriøse Android-applikationer, som distribuerer malwaren, bruger en kendt APK-bindingstjeneste kaldet Zombinder. Denne service muliggør trojanisering af legitime applikationer, så de kan downloade den faktiske malware (i dette tilfælde Octo2) under påskud af at installere et 'nødvendigt plugin'.
I øjeblikket er der ingen beviser, der tyder på, at Octo2 bliver spredt gennem Google Play Butik, hvilket indebærer, at brugere enten downloader disse applikationer fra upålidelige kilder eller bliver snydt til at installere dem gennem social engineering taktik.
Med den originale Octo malwares kildekode allerede lækket og let tilgængelig for forskellige trusselsaktører, forbedrer Octo2 denne base med endnu mere robuste fjernadgangsfunktioner og avancerede sløringsteknikker.
Octo2 er udstyret med udvidede truende kapaciteter
En anden væsentlig udvikling er Octos udvikling til en Malware-as-a-Service (MaaS) model, ifølge Team Cymru. Dette skift giver udvikleren mulighed for at tjene penge ved at levere malwaren til cyberkriminelle, der søger at udføre informationstyveri.
Ved at promovere opdateringen annoncerede ejeren af Octo, at Octo2 ville være tilgængelig for eksisterende brugere af Octo1 til samme pris med mulighed for tidlig adgang. Infosec-forskere forventer, at de, der tidligere har brugt Octo1, vil gå over til Octo2 og derved øge deres tilstedeværelse i det globale trussellandskab.
En af de vigtigste forbedringer i Octo2 er implementeringen af en Domain Generation Algorithm (DGA) til at generere Command-and-Control (C2) servernavne sammen med forbedringer i den overordnede stabilitet og anti-analyseteknikker.
Brug af et DGA-baseret C2-system giver en betydelig fordel, som giver trusselsaktører mulighed for hurtigt at skifte til nye C2-servere, hvilket mindsker effektiviteten af domænenavnsblokeringslister og øger modstandskraften mod potentielle nedtagningsbestræbelser.
Denne variants evne til at udføre bedrageri på enheden uopdaget og indfange følsomme oplysninger, kombineret med dens ubesværede tilpasning til forskellige trusselsaktører, øger risikoen for mobilbankbrugere verden over.
