Octo Banking Troijalainen
Kyberturvallisuustutkijat onnistuivat saamaan jälkiä toisesta tehokkaasta Android-pankkitroijalaisesta. Uhkaa on jäljitetty nimellä Octo, ja haittaohjelmatutkijoiden tekemän analyysin mukaan se on osa mobiilihaittaohjelmaperhettä, joka tunnetaan nimellä Exobot . Tarkemmin sanottuna Octo näyttää olevan ExobotCompact-uhan tarkistettu versio. Tämän rebrändin ovat saattaneet tehdä kyberrikolliset yrittäessään esitellä uudet versiot upouusia uhkaavina luomuksina ja etäännyttää ne Exobotin lähdekoodin vuotamisesta.
Syöttisovellukset
Octo-uhkaa levitettiin vioittuneiden sovellusten kautta, jotka toimivat tiputtajina. Jotkut sovelluksista olivat jonkin aikaa saatavilla Google Play Kaupassa, jossa ne onnistuivat keräämään yli 50 tuhatta latausta. Octon operaattorit käyttivät myös harhaanjohtavia verkkosivustoja ja aloitussivuja, jotka pudottivat sovellukset uhrin laitteisiin selainpäivitysten varjolla. Huijatut sovellukset esiintyivät sovellusten asentajina, näytön tallentajina ja rahoitussovelluksina. Joitakin tunnistettuja Octo-uhan tuottavia sovelluksia olivat Pocket Screencaster (com.moh.screen), Fast Cleaner 2021 (vizeeva.fast.cleaner), Postbank Security (com.carbuildz), BAWAG PSK Security (com.frontwonder2), Play Kauppa. sovelluksen asennus (com.theseeye5) jne.
Uhkaavat ominaisuudet
Käyttäjiä pyydetään myöntämään Accessibility Services -käyttöoikeudet petollisiin ohjelmiin. Toinen Octon käyttämä laillinen palvelu on Androidin MediaProjection API. Sen avulla uhka voi kaapata laitteen näytön sisällön reaaliajassa. Käytännössä tämä tarkoittaa, että Octo voi suorittaa laitteessa petoksia (ODF) automaattisesti ilman operaattorien manuaalista syöttöä. Uhka voi suorittaa peittohyökkäyksiä useita talous- ja pankkisovelluksia vastaan saadakseen käyttäjän kirjautumistiedot. Octo voi myös luoda näppäinkirjausrutiineja, kerätä yhteystietoja, saada laitteen kauko-ohjauksen ja paljon muuta. Uhka on myös varustettu evaasiotekniikoilla, jotka tekevät havaitsemisesta vaikeampaa, ja pysyvyysmekanismeja, joilla varmistetaan sen pitkäaikainen läsnäolo vaarantuneissa laitteissa.
