Octo Banking Trojan

חוקרי אבטחת סייבר הצליחו לתפוס את עקבותיו של טרויאני בנקאי חזק אחר אנדרואיד. האיום עוקב בתור Octo, ולפי הניתוח שביצעו חוקרי תוכנות זדוניות, האם הוא חלק ממשפחת תוכנות זדוניות ניידות המכונה Exobot . ליתר דיוק, נראה כי Octo הוא גרסה מתוקנת של איום ExobotCompact. ייתכן שהמיתוג מחדש הזה נעשה על ידי פושעי סייבר, כניסיון להציג את הגרסאות החדשות כיצירות מאיימות חדשות לגמרי ולהרחיק אותן מהעובדה שקוד המקור של Exobot דלף.

יישומי פיתוי

איום Octo הופץ באמצעות יישומים פגומים הפועלים כמטפטפים. חלק מהאפליקציות היו זמינות לזמן מה בחנות Google Play, שם הצליחו לצבור למעלה מ-50 אלף הורדות. המפעילים של Octo גם השתמשו באתרי אינטרנט ודפי נחיתה מטעים שהפילו את האפליקציות למכשיריו של הקורבן, במסווה של עדכוני דפדפן. היישומים הנוכלים התחזו כמתקיני אפליקציות, מקליטי מסך ויישומים פיננסיים. חלק מהיישומים שזוהו המספקים את איום Octo כללו Pocket Screencaster (com.moh.screen), Fast Cleaner 2021 (vizeeva.fast.cleaner), Postbank Security (com.carbuildz), BAWAG PSK Security (com.frontwonder2), Play Store התקנת אפליקציה (com.theseeye5) וכו'.

יכולות מאיימות

המשתמשים יתבקשו להעניק הרשאות שירותי נגישות לתוכניות ההונאה. שירות לגיטימי נוסף שניצל על ידי Octo הוא MediaProjection API של אנדרואיד. זה מאפשר לאיום ללכוד את תוכן מסך המכשיר בזמן אמת. בפועל, זה אומר ש-Octo יכולה לבצע הונאה במכשיר (ODF) באופן אוטומטי ללא קלט ידני מהמפעילים שלה. האיום יכול לבצע התקפות שכבת-על נגד אפליקציות פיננסיות ובנקיות מרובות כדי להשיג את אישורי הכניסה של המשתמש. Octo יכול גם להקים שגרות רישום מקשים, לאסוף מידע ליצירת קשר, להשיג שליטה מרחוק על המכשיר ועוד. האיום מצויד גם בטכניקות התחמקות כדי להקשות על הגילוי ומנגנוני התמדה כדי להבטיח את נוכחותו הממושכת במכשירים שנפגעו.