Octo2 Banking Trojan
Οι ειδικοί στον τομέα της κυβερνοασφάλειας εντόπισαν μια ενημερωμένη παραλλαγή του Android banking Trojan, γνωστή ως Octo. Αυτή η παραλλαγή έχει πλέον βελτιωθεί με προηγμένες λειτουργίες για τη διευκόλυνση της ανάληψης συσκευών (DTO) και την ενεργοποίηση δόλιων συναλλαγών.
Με το όνομα Octo2 από τους δημιουργούς της, αυτή η νέα έκδοση έχει διανεμηθεί σε παραπλανητικές καμπάνιες σε ευρωπαϊκά έθνη, συμπεριλαμβανομένης της Ιταλίας, της Πολωνίας, της Μολδαβίας και της Ουγγαρίας. Οι προγραμματιστές έχουν εργαστεί για να βελτιώσουν τη σταθερότητα των απομακρυσμένων ενεργειών που απαιτούνται για επιτυχείς επιθέσεις κατάληψης συσκευών.
Πίνακας περιεχομένων
Η εμφάνιση του κακόβουλου λογισμικού Octo Mobile
Το Octo αναγνωρίστηκε αρχικά από ερευνητές στις αρχές του 2022 και αποδίδεται σε έναν παράγοντα απειλών που είναι γνωστός από τα διαδικτυακά ψευδώνυμα Architect και Goodluck. Έχει αξιολογηθεί ως «άμεσος απόγονος» του κακόβουλου λογισμικού Exobot , το οποίο εντοπίστηκε για πρώτη φορά το 2016 και αργότερα προκάλεσε μια άλλη παραλλαγή που ονομάζεται Coper το 2021.
Αναπτύχθηκε από τον πηγαίο κώδικα του τραπεζικού Trojan Marche r , το Exobot διατηρήθηκε ενεργά μέχρι το 2018, στοχεύοντας χρηματοπιστωτικά ιδρύματα μέσω διαφόρων καμπανιών κυρίως στην Τουρκία, τη Γαλλία, τη Γερμανία, καθώς και την Αυστραλία, την Ταϊλάνδη και την Ιαπωνία. Μετά από αυτό, κυκλοφόρησε μια βελτιωμένη έκδοση γνωστή ως ExobotCompact από τον ηθοποιό απειλών που αναφέρεται ως «android» στα φόρουμ του σκοτεινού Ιστού.
Εφαρμογές που φέρουν το Octo2 Banking Trojan
Πολλές επιβλαβείς εφαρμογές που σχετίζονται με το Octo2 περιλαμβάνουν το Europe Enterprise (com.xsusb_restore3), το Google Chrome (com.havirtual06numberresources) και το NordVPN (com.handedfastee5).
Αυτές οι αδίστακτες εφαρμογές Android, οι οποίες διανέμουν το κακόβουλο λογισμικό, χρησιμοποιούν μια γνωστή υπηρεσία σύνδεσης APK που ονομάζεται Zombinder. Αυτή η υπηρεσία επιτρέπει την trojanization των νόμιμων εφαρμογών, επιτρέποντάς τους να κατεβάσουν το πραγματικό κακόβουλο λογισμικό (στην περίπτωση αυτή, το Octo2) με το πρόσχημα της εγκατάστασης ενός «απαραίτητου πρόσθετου».
Επί του παρόντος, δεν υπάρχουν στοιχεία που να υποδεικνύουν ότι το Octo2 διαδίδεται μέσω του Google Play Store, γεγονός που υποδηλώνει ότι οι χρήστες είτε κατεβάζουν αυτές τις εφαρμογές από αναξιόπιστες πηγές είτε εξαπατούν να τις εγκαταστήσουν μέσω τακτικών κοινωνικής μηχανικής.
Με τον πηγαίο κώδικα του αρχικού κακόβουλου λογισμικού Octo να έχει ήδη διαρρεύσει και να είναι άμεσα διαθέσιμος σε διάφορους παράγοντες απειλών, το Octo2 ενισχύει αυτή τη βάση με ακόμη πιο ισχυρές δυνατότητες απομακρυσμένης πρόσβασης και προηγμένες τεχνικές συσκότισης.
Το Octo2 είναι εξοπλισμένο με διευρυμένες δυνατότητες απειλής
Μια άλλη σημαντική εξέλιξη είναι η εξέλιξη της Octo σε μοντέλο Malware-as-a-Service (MaaS), σύμφωνα με την Team Cymru. Αυτή η μετατόπιση επιτρέπει στον προγραμματιστή να επωφεληθεί παρέχοντας το κακόβουλο λογισμικό σε εγκληματίες του κυβερνοχώρου που επιδιώκουν να διεξάγουν επιχειρήσεις κλοπής πληροφοριών.
Κατά την προώθηση της ενημέρωσης, ο ιδιοκτήτης του Octo ανακοίνωσε ότι το Octo2 θα είναι διαθέσιμο στους υπάρχοντες χρήστες του Octo1 στην ίδια τιμή με επιλογές πρώιμης πρόσβασης. Οι ερευνητές της Infosec αναμένουν ότι όσοι χρησιμοποιούσαν προηγουμένως το Octo1 θα μεταβούν στο Octo2, αυξάνοντας έτσι την παρουσία του στο τοπίο της παγκόσμιας απειλής.
Μία από τις βασικές βελτιώσεις στο Octo2 είναι η εφαρμογή ενός αλγόριθμου δημιουργίας τομέα (DGA) για τη δημιουργία των ονομάτων διακομιστών Command-and-Control (C2), μαζί με βελτιώσεις στη συνολική σταθερότητα και τεχνικές αντι-ανάλυσης.
Η χρήση ενός συστήματος C2 που βασίζεται σε DGA παρέχει ένα σημαντικό πλεονέκτημα, επιτρέποντας στους παράγοντες απειλής να μεταβούν γρήγορα σε νέους διακομιστές C2, γεγονός που μειώνει την αποτελεσματικότητα των λιστών αποκλεισμού ονομάτων τομέα και ενισχύει την ανθεκτικότητα έναντι πιθανών προσπαθειών κατάργησης.
Η ικανότητα αυτής της παραλλαγής να εκτελεί απάτες στη συσκευή χωρίς να ανιχνεύεται και να συλλαμβάνει ευαίσθητες πληροφορίες, σε συνδυασμό με την αβίαστη προσαρμογή της για διάφορους παράγοντες απειλών, αυξάνει τον κίνδυνο για τους χρήστες mobile banking παγκοσμίως.
