Octo2 Banking Troijalainen
Kyberturvallisuusasiantuntijat ovat tunnistaneet päivitetyn version Android-pankkitroijalaisesta, joka tunnetaan nimellä Octo. Tämä versio on nyt parannettu edistyneillä ominaisuuksilla, jotka helpottavat laitteen haltuunottoa (DTO) ja mahdollistavat vilpilliset tapahtumat.
Tätä uutta versiota on levitetty harhaanjohtavissa kampanjoissa eri Euroopan maissa, kuten Italiassa, Puolassa, Moldovassa ja Unkarissa. Kehittäjät ovat pyrkineet parantamaan onnistuneiden laitekaappaushyökkäysten edellyttämien etätoimintojen vakautta.
Sisällysluettelo
Octo Mobile -haittaohjelmien synty
Tutkijat tunnistivat Octon alun perin vuoden 2022 alussa, ja sen syynä on uhkatekijä, jonka verkkoaliakset Architect ja goodluck tuntevat. Se on arvioitu Exobot -haittaohjelman "suoraksi jälkeläiseksi", joka havaittiin ensimmäisen kerran vuonna 2016 ja johti myöhemmin toiseen versioon nimeltä Coper vuonna 2021.
Pankkitroijalaisen Marche r :n lähdekoodista kehitettyä Exobotia ylläpidettiin aktiivisesti vuoteen 2018 asti, ja se kohdistui rahoituslaitoksiin eri kampanjoiden kautta ensisijaisesti Turkissa, Ranskassa, Saksassa sekä Australiassa, Thaimaassa ja Japanissa. Tämän jälkeen "androidiksi" kutsuttu uhkatoimija julkaisi virtaviivaistetun version, joka tunnetaan nimellä ExobotCompact pimeillä Web-foorumeilla.
Sovellukset, joissa on Octo2 Banking Troijalainen
Useita Octo2:een liittyviä haitallisia sovelluksia ovat muun muassa Europe Enterprise (com.xsusb_restore3), Google Chrome (com.havirtual06numberresources) ja NordVPN (com.handedfastee5).
Nämä haitalliset Android-sovellukset, jotka levittävät haittaohjelmia, käyttävät tunnettua APK-sidospalvelua nimeltä Zombinder. Tämä palvelu mahdollistaa laillisten sovellusten troijalaistuksen, jolloin ne voivat ladata todelliset haittaohjelmat (tässä tapauksessa Octo2) "tarvittavan laajennuksen" asentamisen varjolla.
Tällä hetkellä ei ole näyttöä siitä, että Octo2 levittäisi Google Play Kaupan kautta, mikä viittaa siihen, että käyttäjät joko lataavat näitä sovelluksia epäluotettavista lähteistä tai heitä huijataan asentamaan ne manipulointitaktiikoilla.
Alkuperäisen Octo-haittaohjelman lähdekoodi on jo vuotanut ja helposti saatavilla useille uhkatoimijoille, joten Octo2 parantaa tätä perustaa entistä tehokkaammilla etäkäyttöominaisuuksilla ja edistyneillä hämärtämistekniikoilla.
Octo2 on varustettu laajennetuilla uhkausominaisuuksilla
Toinen merkittävä kehitysaskel on Octon kehitys Malware-as-a-Service (MaaS) -malliksi Team Cymrun mukaan. Tämä muutos antaa kehittäjälle mahdollisuuden hyötyä tarjoamalla haittaohjelmia tietovarkauksiin pyrkiville kyberrikollisille.
Edistäessään päivitystä Octon omistaja ilmoitti, että Octo2 on saatavilla Octo1:n nykyisille käyttäjille samaan hintaan ennakkokäyttömahdollisuuksilla. Infosecin tutkijat odottavat, että aiemmin Octo1:tä käyttäneet siirtyvät Octo2:een, mikä lisää sen läsnäoloa maailmanlaajuisessa uhkakuvassa.
Yksi Octo2:n tärkeimmistä parannuksista on DGA (Domain Generation Algorithm) -algoritmin käyttöönotto Command-and-Control (C2) -palvelinnimien luomiseksi sekä yleisen vakauden ja analyysin estotekniikoiden parannukset.
DGA-pohjaisen C2-järjestelmän hyödyntäminen tarjoaa merkittävän edun, koska se mahdollistaa uhkatekijöiden nopean siirtymisen uusiin C2-palvelimiin, mikä heikentää verkkotunnusten estoluetteloiden tehokkuutta ja parantaa sietokykyä mahdollisia poistoyrityksiä vastaan.
Tämän muunnelman kyky suorittaa laitteessa havaitsematta tapahtuvia petoksia ja kaapata arkaluontoisia tietoja yhdistettynä sen vaivattomaan räätälöintiin eri uhkatekijöitä varten lisää mobiilipankkikäyttäjien riskiä maailmanlaajuisesti.
