Octo2 Banking Trojan
Kiberbiztonsági szakértők azonosították az Octo néven ismert Android banki trójai frissített változatát. Ez a változat most fejlett funkciókkal bővült, amelyek megkönnyítik az eszközátvételt (DTO) és lehetővé teszik a csalárd tranzakciókat.
Ezt az új verziót, amelyet készítői Octo2-nek kereszteltek, félrevezető kampányok keretében terjesztették Európa országaiban, köztük Olaszországban, Lengyelországban, Moldovában és Magyarországon. A fejlesztők azon dolgoztak, hogy javítsák a sikeres eszközátvételi támadásokhoz szükséges távoli műveletek stabilitását.
Tartalomjegyzék
Az Octo Mobile Malware megjelenése
Az Octo-t eredetileg 2022 elején azonosították a kutatók, és az Architect és a goodluck online álnevek által ismert fenyegetés szereplőjének tulajdonítják. Az Exobot kártevő „közvetlen leszármazottjaként” értékelték, amelyet először 2016-ban észleltek, majd 2021-ben egy másik változat , a Coper született.
A Marche r banki trójai forráskódjából kifejlesztett Exobotot 2018-ig aktívan karbantartották, különféle kampányokkal elsősorban Törökországban, Franciaországban, Németországban, valamint Ausztráliában, Thaiföldön és Japánban célozta meg a pénzintézeteket. Ezt követően az „android”-ként emlegetett fenyegetettség szereplője kiadta az ExobotCompact néven ismert egyszerűsített verziót a sötét webes fórumokon.
Az Octo2 Banking trójai programot hordozó alkalmazások
Az Octo2-höz kapcsolódó számos káros alkalmazás közé tartozik a Europe Enterprise (com.xsusb_restore3), a Google Chrome (com.havirtual06numberresources) és a NordVPN (com.handedfastee5).
Ezek a rosszindulatú programokat terjesztő gaz Android-alkalmazások egy ismert Zombinder nevű APK-kötési szolgáltatást használnak. Ez a szolgáltatás lehetővé teszi a legális alkalmazások trójaivá tételét, lehetővé téve számukra, hogy letöltsék a tényleges kártevőt (jelen esetben az Octo2-t) azzal az ürüggyel, hogy egy „szükséges bővítményt” telepítenek.
Jelenleg nincs bizonyíték arra, hogy az Octo2 a Google Play Áruházban terjedne, ami arra utal, hogy a felhasználók vagy megbízhatatlan forrásokból töltik le ezeket az alkalmazásokat, vagy megtévesztik őket, hogy telepítsék őket social engineering taktikával.
Mivel az eredeti Octo rosszindulatú program forráskódja már kiszivárgott és könnyen elérhető a különböző fenyegetések szereplői számára, az Octo2 még robusztusabb távoli hozzáférési képességekkel és fejlett obfuszkációs technikákkal bővíti ezt az alapot.
Az Octo2 kiterjesztett fenyegetési képességekkel van felszerelve
Egy másik jelentős fejlemény az Octo Malware-as-a-Service (MaaS) modelljévé való evolúciója a Team Cymru szerint. Ez az elmozdulás lehetővé teszi a fejlesztő számára, hogy profitot tudjon szerezni azáltal, hogy a rosszindulatú programokat az információlopási műveleteket végrehajtani szándékozó kiberbűnözők rendelkezésére bocsátja.
A frissítés népszerűsítése során az Octo tulajdonosa bejelentette, hogy az Octo2 az Octo1 meglévő felhasználói számára is elérhető lesz ugyanazon az áron, korai hozzáférési lehetőségekkel. Az Infosec kutatói arra számítanak, hogy azok, akik korábban az Octo1-et használták, áttérnek az Octo2-re, ezáltal növelve jelenlétét a globális fenyegetettségi környezetben.
Az Octo2 egyik legfontosabb fejlesztése a Domain Generation Algorithm (DGA) megvalósítása a Command-and-Control (C2) kiszolgálónevek generálására, valamint az általános stabilitás és az anti-analízis technikák javítása.
A DGA-alapú C2 rendszer használata jelentős előnyt jelent, lehetővé téve a fenyegetés szereplői számára, hogy gyorsan váltsanak új C2-szerverekre, ami csökkenti a tartománynév-blokkolók hatékonyságát és növeli a potenciális eltávolítási erőfeszítésekkel szembeni ellenálló képességet.
Ez a változat azon képessége, hogy észrevétlenül hajtsa végre az eszközön elkövetett csalásokat és rögzítse az érzékeny információkat, valamint a különféle fenyegetés szereplőihez való könnyed testreszabhatósága világszerte növeli a mobilbanki felhasználók kockázatát.
