2. oktoober pangandustroojalane
Küberturvalisuse eksperdid on tuvastanud Androidi panganduse troojalase uuendatud variandi, mida tuntakse kui Octo. Seda varianti on nüüd täiustatud täiustatud funktsioonidega, mis hõlbustavad seadme ülevõtmist (DTO) ja võimaldavad petturlikke tehinguid.
Seda uut versiooni, mille loojad on nimetanud Octo2, on levitatud eksitavate kampaaniate käigus Euroopa riikides, sealhulgas Itaalias, Poolas, Moldovas ja Ungaris. Arendajad on töötanud selle nimel, et parandada seadme edukaks ülevõtmise rünnakuteks vajalike kaugtoimingute stabiilsust.
Sisukord
Octo Mobile'i pahavara tekkimine
Octo tuvastasid teadlased algselt 2022. aasta alguses ja see omistati ohus osalejale, keda teavad veebialased varjunimed Architect ja goodluck. Seda on hinnatud Exoboti pahavara otseseks järeltulijaks, mis tuvastati esmakordselt 2016. aastal ja millest hiljem sündis 2021. aastal teine variant nimega Coper .
Pangandustrooja Marche r lähtekoodist välja töötatud Exobot hooldati aktiivselt kuni 2018. aastani, sihtides erinevate kampaaniate kaudu finantsasutusi peamiselt Türgis, Prantsusmaal, Saksamaal, aga ka Austraalias, Tais ja Jaapanis. Pärast seda andis tumedates veebifoorumites välja ohutegureid, keda kutsuti androidiks, ExobotCompact nime all tuntud täiustatud versioon.
Rakendused, mis kannavad Octo2 pangandustroojalast
Mitmete Octo2-ga seotud kahjulike rakenduste hulka kuuluvad Europe Enterprise (com.xsusb_restore3), Google Chrome (com.havirtual06numberresources) ja NordVPN (com.handedfastee5).
Need petturlikud Androidi rakendused, mis pahavara levitavad, kasutavad tuntud APK sidumisteenust nimega Zombinder. See teenus võimaldab troojaseerida legitiimseid rakendusi, võimaldades neil alla laadida tegeliku pahavara (antud juhul Octo2) ettekäändel, et installivad "vajaliku pistikprogrammi".
Praegu puuduvad tõendid, mis viitaksid sellele, et Octo2 leviks Google Play poe kaudu, mis tähendab, et kasutajad kas laadivad neid rakendusi alla ebausaldusväärsetest allikatest või petetakse neid sotsiaalse manipuleerimise taktika abil installima.
Kuna algse Octo pahavara lähtekood on juba lekkinud ja erinevatele ohus osalejatele hõlpsasti kättesaadav, täiustab Octo2 seda baasi veelgi tugevamate kaugjuurdepääsuvõimaluste ja täiustatud hägustamistehnikatega.
Octo2 on varustatud laiendatud ähvardamisvõimalustega
Teine oluline areng on Team Cymru andmetel Octo areng Malware-as-a-Service (MaaS) mudeliks. See nihe võimaldab arendajal kasu saada, pakkudes pahavara küberkurjategijatele, kes soovivad korraldada teabevargusi.
Värskenduse reklaamimisel teatas Octo omanik, et Octo2 on Octo1 olemasolevatele kasutajatele saadaval sama hinnaga koos varajase juurdepääsu võimalustega. Infoseci teadlased eeldavad, et need, kes varem kasutasid Octo1, lähevad üle Octo2-le, suurendades seeläbi selle kohalolekut ülemaailmsel ohumaastikul.
Üks Octo2 peamisi täiustusi on domeeni genereerimise algoritmi (DGA) rakendamine käsu-ja juhtimise (C2) serverinimede genereerimiseks koos üldise stabiilsuse ja analüüsivastaste tehnikate täiustustega.
DGA-põhise C2-süsteemi kasutamine annab märkimisväärse eelise, võimaldades ohus osalejatel kiiresti lülituda uutele C2-serveritele, mis vähendab domeeninimede blokeerimisloendite tõhusust ja suurendab vastupanuvõimet võimalike eemaldamispüüdluste vastu.
Selle variandi suutlikkus sooritada avastamata seadmesiseseid pettusi ja koguda tundlikku teavet koos selle lihtsa kohandamisega erinevate ohutegurite jaoks suurendab mobiilipanga kasutajate ohtu kogu maailmas.
