تروجان بانکی Octo2

کارشناسان امنیت سایبری یک نوع به روز شده از تروجان بانکی اندروید را شناسایی کرده اند که با نام Octo شناخته می شود. این نوع اکنون با ویژگی های پیشرفته برای تسهیل تصاحب دستگاه (DTO) و فعال کردن تراکنش های تقلبی بهبود یافته است.

این نسخه جدید که توسط سازندگانش Octo2 نامگذاری شده است در کمپین های گمراه کننده در سراسر کشورهای اروپایی از جمله ایتالیا، لهستان، مولداوی و مجارستان توزیع شده است. توسعه دهندگان برای بهبود پایداری اقدامات از راه دور مورد نیاز برای حملات موفقیت آمیز تصاحب دستگاه کار کرده اند.

ظهور بدافزار Octo Mobile

Octo در ابتدا توسط محققان در اوایل سال 2022 شناسایی شد و به یک عامل تهدید شناخته شده با نام مستعار آنلاین Architect و Goodluck نسبت داده شد. این بدافزار به‌عنوان «نوادگان مستقیم» بدافزار Exobot ارزیابی شده است که برای اولین بار در سال 2016 شناسایی شد و بعداً یک نوع دیگر به نام Coper را در سال 2021 ایجاد کرد.

Exobot که از کد منبع بانکی Trojan Marche r ایجاد شده است، تا سال 2018 به طور فعال نگهداری می شد و موسسات مالی را از طریق کمپین های مختلف عمدتاً در ترکیه، فرانسه، آلمان و همچنین استرالیا، تایلند و ژاپن هدف قرار می داد. به دنبال آن، یک نسخه ساده به نام ExobotCompact توسط عامل تهدید به نام «اندروید» در انجمن‌های وب تاریک منتشر شد.

برنامه های کاربردی حامل تروجان بانکی Octo2

چندین برنامه مضر مرتبط با Octo2 عبارتند از Europe Enterprise (com.xsusb_restore3)، Google Chrome (com.havirtual06numberresources) و NordVPN (com.handedfastee5).

این برنامه‌های اندرویدی سرکش که بدافزار را توزیع می‌کنند، از یک سرویس اتصال APK شناخته شده به نام Zombinder استفاده می‌کنند. این سرویس تروجانیزه کردن برنامه های کاربردی قانونی را امکان پذیر می کند و به آنها اجازه می دهد تا بدافزار واقعی (در این مورد Octo2) را به بهانه نصب یک پلاگین ضروری دانلود کنند.

در حال حاضر، هیچ مدرکی مبنی بر انتشار Octo2 از طریق فروشگاه Google Play وجود ندارد، که نشان می دهد کاربران یا این برنامه ها را از منابع نامعتبر دانلود می کنند یا فریب آنها را از طریق تاکتیک های مهندسی اجتماعی نصب می کنند.

با توجه به اینکه کد منبع بدافزار Octo اصلی قبلاً فاش شده و به آسانی در اختیار عوامل مختلف تهدید قرار گرفته است، Octo2 این پایگاه را با قابلیت‌های دسترسی از راه دور قوی‌تر و تکنیک‌های مبهم‌سازی پیشرفته تقویت می‌کند.

Octo2 مجهز به قابلیت های تهدید کننده گسترده است

به گفته تیم Cymru، یکی دیگر از پیشرفت های مهم، تکامل Octo به یک مدل بدافزار به عنوان یک سرویس (MaaS) است. این تغییر به توسعه‌دهنده اجازه می‌دهد تا با ارائه بدافزار به مجرمان سایبری که به دنبال انجام عملیات سرقت اطلاعات هستند، سود ببرد.

در تبلیغ به‌روزرسانی، صاحب Octo اعلام کرد که Octo2 با همان قیمت با گزینه‌های دسترسی زودهنگام در دسترس کاربران فعلی Octo1 قرار خواهد گرفت. محققان Infosec پیش‌بینی می‌کنند که کسانی که قبلاً از Octo1 استفاده می‌کردند به Octo2 منتقل می‌شوند و در نتیجه حضور آن را در چشم‌انداز تهدید جهانی افزایش می‌دهند.

یکی از پیشرفت‌های کلیدی در Octo2، پیاده‌سازی الگوریتم تولید دامنه (DGA) برای تولید نام‌های سرور Command-and-Control (C2)، همراه با بهبود در پایداری کلی و تکنیک‌های ضد تجزیه و تحلیل است.

استفاده از سیستم C2 مبتنی بر DGA مزیت قابل توجهی را فراهم می کند و به عوامل تهدید اجازه می دهد تا به سرعت به سرورهای جدید C2 سوئیچ کنند، که کارایی لیست های مسدود نام دامنه را کاهش می دهد و انعطاف پذیری را در برابر تلاش های بالقوه حذف افزایش می دهد.

قابلیت این نوع برای اجرای کلاهبرداری در دستگاه بدون شناسایی و گرفتن اطلاعات حساس، همراه با سفارشی سازی بی دردسر آن برای عوامل مختلف تهدید، خطر را برای کاربران موبایل بانک در سراسر جهان افزایش می دهد.