Octo2 bankarski trojanac
Stručnjaci za kibernetičku sigurnost identificirali su ažuriranu varijantu Android bankarskog trojanaca poznatog kao Octo. Ova je varijanta sada poboljšana naprednim značajkama za olakšavanje preuzimanja uređaja (DTO) i omogućavanje lažnih transakcija.
Kreatori su je ovu novu verziju nazvali Octo2, a distribuirana je u obmanjujućim kampanjama diljem europskih zemalja, uključujući Italiju, Poljsku, Moldaviju i Mađarsku. Programeri su radili na poboljšanju stabilnosti daljinskih radnji potrebnih za uspješne napade preuzimanja uređaja.
Sadržaj
Pojava zlonamjernog softvera Octo Mobile
Octo su prvotno identificirali istraživači početkom 2022. i pripisuju mu prijetnju poznatom pod nadimcima Architect i goodluck na mreži. Procijenjen je kao 'izravni potomak' zlonamjernog softvera Exobot , koji je prvi put otkriven 2016., a kasnije je doveo do druge varijante nazvane Coper 2021.
Razvijen iz izvornog koda bankarskog trojanca Marche r , Exobot je aktivno održavan do 2018., ciljajući financijske institucije kroz razne kampanje prvenstveno u Turskoj, Francuskoj, Njemačkoj, kao i Australiji, Tajlandu i Japanu. Nakon toga, akter prijetnje koji se na mračnim web forumima naziva 'android', izdao je pojednostavljenu verziju poznatu kao ExobotCompact.
Aplikacije koje nose Octo2 bankarski trojanac
Nekoliko štetnih aplikacija povezanih s Octo2 uključuje Europe Enterprise (com.xsusb_restore3), Google Chrome (com.havirtual06numberresources) i NordVPN (com.handedfastee5).
Ove lažne Android aplikacije, koje distribuiraju zlonamjerni softver, koriste poznatu uslugu vezanja APK-a pod nazivom Zombinder. Ova usluga omogućuje trojanizaciju legitimnih aplikacija, dopuštajući im preuzimanje stvarnog zlonamjernog softvera (u ovom slučaju, Octo2) pod izlikom instaliranja 'potrebnog dodatka'.
Trenutačno nema dokaza koji upućuju na to da se Octo2 širi kroz Google Play Store, što implicira da korisnici ili preuzimaju te aplikacije iz nepouzdanih izvora ili su prevareni da ih instaliraju putem taktika društvenog inženjeringa.
Uz izvorni kod izvornog zlonamjernog softvera Octo koji je već procurio i koji je lako dostupan raznim akterima prijetnji, Octo2 poboljšava ovu bazu s još robusnijim mogućnostima daljinskog pristupa i naprednim tehnikama maskiranja.
Octo2 je opremljen proširenim prijetećim mogućnostima
Drugi značajan razvoj je Octoova evolucija u model Malware-as-a-Service (MaaS), prema timu Cymru. Ova promjena omogućuje razvojnom programeru da profitira pružanjem zlonamjernog softvera kibernetičkim kriminalcima koji žele provesti operacije krađe informacija.
Promovirajući ažuriranje, vlasnik Octoa najavio je da će Octo2 biti dostupan postojećim korisnicima Octo1 po istoj cijeni s opcijama ranog pristupa. Istraživači Infoseca predviđaju da će oni koji su prethodno koristili Octo1 prijeći na Octo2, čime će povećati svoju prisutnost u globalnom okruženju prijetnji.
Jedno od ključnih poboljšanja u Octo2 je implementacija algoritma za generiranje domene (DGA) za generiranje imena poslužitelja za naredbu i kontrolu (C2), zajedno s poboljšanjima u ukupnoj stabilnosti i tehnikama anti-analize.
Korištenje C2 sustava temeljenog na DGA pruža značajnu prednost, dopuštajući akterima prijetnji da se brzo prebace na nove C2 poslužitelje, što umanjuje učinkovitost popisa blokiranih naziva domena i povećava otpornost protiv potencijalnih pokušaja uklanjanja.
Sposobnost ove varijante da neotkriveno izvrši prijevaru na uređaju i uhvati osjetljive informacije, u kombinaciji s jednostavnom prilagodbom za različite aktere prijetnji, povećava rizik za korisnike mobilnog bankarstva diljem svijeta.
