Octo2 בנקאי טרויאני

מומחי אבטחת סייבר זיהו גרסה מעודכנת של הטרויאני הבנקאי אנדרואיד המכונה Octo. גרסה זו משופרת כעת עם תכונות מתקדמות כדי להקל על השתלטות על מכשירים (DTO) ולאפשר עסקאות הונאה.

גרסה חדשה זו, שזכתה לכינוי Octo2 על ידי יוצריה, הופצה בקמפיינים מטעים ברחבי מדינות אירופה, כולל איטליה, פולין, מולדובה והונגריה. המפתחים פעלו לשיפור היציבות של הפעולות המרוחקות הנדרשות להתקפות השתלטות מוצלחות על מכשירים.

הופעתה של תוכנת זדונית ניידת Octo

אוקטו זוהה בתחילה על ידי חוקרים בתחילת 2022 ומיוחס לשחקן איום המוכר על ידי הכינויים המקוונים Architect and goodluck. זה הוערך כ"צאצא ישיר" של תוכנת הזדונית Exobot , שזוהתה לראשונה ב-2016 ומאוחר יותר הולידה גרסה נוספת בשם Coper ב-2021.

Exobot, שפותחה מקוד המקור של הבנק הטרויאני Marche r , תוחזקה באופן פעיל עד 2018, כשהיא מכוונת למוסדות פיננסיים באמצעות מסעות פרסום שונים בעיקר בטורקיה, צרפת, גרמניה, כמו גם אוסטרליה, תאילנד ויפן. בעקבות זאת, גרסה יעילה הידועה בשם ExobotCompact שוחררה על ידי שחקן האיום המכונה 'אנדרואיד' בפורומי אינטרנט אפלים.

יישומים הנושאים את ה-Octo2 Banking Trojan

מספר יישומים מזיקים הקשורים ל-Octo2 כוללים את Europe Enterprise (com.xsusb_restore3), Google Chrome (com.havirtual06numberresources) ו-NordVPN (com.handedfastee5).

יישומי אנדרואיד סוררים אלה, שמפיצים את התוכנה הזדונית, משתמשות בשירות כריכת APK ידוע בשם Zombinder. שירות זה מאפשר הטרויאניזציה של יישומים לגיטימיים, ומאפשר להם להוריד את התוכנה הזדונית בפועל (במקרה זה, Octo2) תחת יומרה של התקנת 'פלאגין הכרחי'.

נכון לעכשיו, אין ראיות המצביעות על כך ש-Octo2 מופץ דרך חנות Google Play, מה שמרמז שמשתמשים מורידים אפליקציות אלו ממקורות לא אמינים או שולל להתקין אותם באמצעות טקטיקות של הנדסה חברתית.

עם קוד המקור של התוכנה הזדונית המקורית של Octo כבר דלף וזמין לגורמי איומים שונים, Octo2 משפר את הבסיס הזה עם יכולות גישה מרחוק חזקות עוד יותר וטכניקות ערפול מתקדמות.

Octo2 מצויד ביכולות איום מורחבות

התפתחות משמעותית נוספת היא ההתפתחות של Octo למודל Malware-as-a-Service (MaaS), לפי Team Cymru. שינוי זה מאפשר למפתח להרוויח על ידי אספקת התוכנה הזדונית לפושעי סייבר המבקשים לבצע פעולות גניבת מידע.

בקידום העדכון, הבעלים של Octo הודיע כי Octo2 יהיה זמין למשתמשים קיימים של Octo1 באותו מחיר עם אפשרויות גישה מוקדמת. חוקרי Infosec צופים כי אלו שעשו בעבר שימוש ב-Octo1 יעברו ל-Octo2, ובכך יגדילו את נוכחותו בנוף האיומים העולמי.

אחד השיפורים המרכזיים ב-Octo2 הוא הטמעה של אלגוריתם יצירת תחום (DGA) ליצירת שמות שרת Command-and-Control (C2), יחד עם שיפורים ביציבות הכוללת ובטכניקות אנטי-אנליזה.

שימוש במערכת C2 מבוססת DGA מספק יתרון משמעותי, המאפשר לשחקני איומים לעבור במהירות לשרתי C2 חדשים, מה שמפחית את האפקטיביות של רשימות חסימות של שמות דומיינים ומשפר את העמידות בפני מאמצי הסרה פוטנציאליים.

היכולת של גרסה זו לבצע הונאה במכשיר שלא זוהתה וללכוד מידע רגיש, בשילוב עם התאמה אישית ללא מאמץ עבור גורמי איומים שונים, מעלה את הסיכון עבור משתמשי בנקאות ניידים ברחבי העולם.