Octo2 Banking Trojan

អ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតបានកំណត់អត្តសញ្ញាណកំណែថ្មីនៃ Trojan ធនាគារ Android ដែលត្រូវបានគេស្គាល់ថា Octo ។ ឥឡូវនេះវ៉ារ្យ៉ង់នេះត្រូវបានធ្វើឱ្យប្រសើរឡើងជាមួយនឹងមុខងារកម្រិតខ្ពស់ដើម្បីជួយសម្រួលដល់ការកាន់កាប់ឧបករណ៍ (DTO) និងបើកប្រតិបត្តិការក្លែងបន្លំ។

ដាក់ឈ្មោះថា Octo2 ដោយអ្នកបង្កើតរបស់វា កំណែថ្មីនេះត្រូវបានចែកចាយនៅក្នុងយុទ្ធនាការបំភាន់នៅទូទាំងបណ្តាប្រទេសអ៊ឺរ៉ុប រួមទាំងប្រទេសអ៊ីតាលី ប៉ូឡូញ ម៉ុលដាវី និងហុងគ្រី។ អ្នកអភិវឌ្ឍន៍បានធ្វើការដើម្បីកែលម្អស្ថេរភាពនៃសកម្មភាពពីចម្ងាយដែលត្រូវការសម្រាប់ការវាយប្រហារដណ្តើមយកឧបករណ៍ដោយជោគជ័យ។

ការកើតឡើងនៃមេរោគ Octo Mobile Malware

Octo ត្រូវបានកំណត់អត្តសញ្ញាណដំបូងដោយអ្នកស្រាវជ្រាវនៅដើមឆ្នាំ 2022 ហើយត្រូវបានសន្មតថាជាតួអង្គគំរាមកំហែងដែលស្គាល់ដោយឈ្មោះក្លែងក្លាយតាមអ៊ីនធឺណិត ស្ថាបត្យករ និងសំណាងល្អ។ វាត្រូវបានវាយតម្លៃថាជា 'កូនចៅផ្ទាល់' នៃមេរោគ Exobot malware ដែលត្រូវបានរកឃើញដំបូងក្នុងឆ្នាំ 2016 ហើយក្រោយមកបានធ្វើឱ្យមានការប្រែប្រួលមួយទៀតហៅថា Coper ក្នុងឆ្នាំ 2021។

បង្កើតឡើងដោយកូដប្រភពនៃធនាគារ Trojan Marche r , Exobot ត្រូវបានរក្សាយ៉ាងសកម្មរហូតដល់ឆ្នាំ 2018 ដោយផ្តោតលើស្ថាប័នហិរញ្ញវត្ថុតាមរយៈយុទ្ធនាការផ្សេងៗជាចម្បងនៅក្នុងប្រទេសទួរគី បារាំង អាល្លឺម៉ង់ ក៏ដូចជាអូស្ត្រាលី ថៃ និងជប៉ុន។ បន្ទាប់​មក កំណែ​សម្រួល​មួយ​ដែល​គេ​ស្គាល់​ថា​ជា ExobotCompact ត្រូវ​បាន​ចេញ​ផ្សាយ​ដោយ​អ្នក​គំរាម​កំហែង​ហៅ​ថា 'Android' នៅ​លើ​វេទិកា​បណ្ដាញ​ងងឹត។

កម្មវិធីដែលផ្ទុកមេរោគ Octo2 Banking Trojan

កម្មវិធីបង្កគ្រោះថ្នាក់ជាច្រើនដែលទាក់ទងនឹង Octo2 រួមមានសហគ្រាសអឺរ៉ុប (com.xsusb_restore3), Google Chrome (com.havirtual06numberresources) និង NordVPN (com.handedfastee5)។

កម្មវិធី Android បញ្ឆោតទាំងឡាយទាំងនេះ ដែលចែកចាយមេរោគ ប្រើប្រាស់សេវាកម្មចង APK ដែលគេស្គាល់ហៅថា Zombinder ។ សេវាកម្មនេះបើកដំណើរការ Trojanization នៃកម្មវិធីស្របច្បាប់ ដែលអនុញ្ញាតឱ្យពួកគេទាញយកមេរោគពិតប្រាកដ (ក្នុងករណីនេះ Octo2) ក្រោមការក្លែងបន្លំនៃការដំឡើង 'កម្មវិធីជំនួយចាំបាច់'។

បច្ចុប្បន្ននេះមិនមានភស្តុតាងណាមួយដែលបង្ហាញថា Octo2 កំពុងត្រូវបានផ្សព្វផ្សាយតាមរយៈ Google Play Store ដែលមានន័យថាអ្នកប្រើប្រាស់កំពុងទាញយកកម្មវិធីទាំងនេះពីប្រភពដែលមិនគួរឱ្យទុកចិត្ត ឬត្រូវបានបញ្ឆោតឱ្យដំឡើងវាតាមរយៈយុទ្ធសាស្ត្រវិស្វកម្មសង្គម។

ជាមួយនឹងកូដប្រភពរបស់មេរោគ Octo ដើមបានលេចធ្លាយរួចជាស្រេច និងអាចរកបានសម្រាប់តួអង្គគំរាមកំហែងផ្សេងៗ Octo2 ធ្វើឱ្យមូលដ្ឋាននេះប្រសើរឡើងជាមួយនឹងសមត្ថភាពចូលប្រើពីចម្ងាយដ៏រឹងមាំជាងមុន និងបច្ចេកទេសធ្វើឱ្យមានការភ័ន្តច្រឡំកម្រិតខ្ពស់។

Octo2 ត្រូវបានបំពាក់ដោយសមត្ថភាពគំរាមកំហែងពង្រីក

ការអភិវឌ្ឍន៍ដ៏សំខាន់មួយទៀតគឺការវិវត្តន៍របស់ Octo ទៅជាគំរូ Malware-as-a-Service (MaaS) នេះបើយោងតាម Team Cymru ។ ការផ្លាស់ប្តូរនេះអនុញ្ញាតឱ្យអ្នកអភិវឌ្ឍន៍ទទួលបានប្រាក់ចំណេញដោយការផ្តល់នូវមេរោគដល់ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតដែលស្វែងរកប្រតិបត្តិការលួចព័ត៌មាន។

ក្នុងការលើកកម្ពស់ការអាប់ដេត ម្ចាស់ Octo បានប្រកាសថា Octo2 នឹងមានសម្រាប់អ្នកប្រើប្រាស់ដែលមានស្រាប់នៃ Octo1 ក្នុងតម្លៃដូចគ្នាជាមួយនឹងជម្រើសចូលប្រើដំបូង។ អ្នកស្រាវជ្រាវ Infosec រំពឹងថាអ្នកដែលធ្លាប់ប្រើ Octo1 ពីមុននឹងប្តូរទៅ Octo2 ដោយហេតុនេះបង្កើនវត្តមានរបស់វានៅក្នុងទិដ្ឋភាពគំរាមកំហែងសកល។

ការធ្វើឱ្យប្រសើរឡើងដ៏សំខាន់មួយនៅក្នុង Octo2 គឺការអនុវត្ត Domain Generation Algorithm (DGA) ដើម្បីបង្កើតឈ្មោះម៉ាស៊ីនមេ Command-and-Control (C2) រួមជាមួយនឹងការធ្វើឱ្យប្រសើរឡើងនូវស្ថេរភាពរួម និងបច្ចេកទេសប្រឆាំងនឹងការវិភាគ។

ការប្រើប្រាស់ប្រព័ន្ធ C2 ដែលមានមូលដ្ឋានលើ DGA ផ្តល់នូវអត្ថប្រយោជន៍យ៉ាងសំខាន់ ដែលអនុញ្ញាតឱ្យតួអង្គគម្រាមកំហែងផ្លាស់ប្តូរយ៉ាងឆាប់រហ័សទៅកាន់ម៉ាស៊ីនមេ C2 ថ្មី ដែលកាត់បន្ថយប្រសិទ្ធភាពនៃបញ្ជីឈ្មោះដែន និងបង្កើនភាពធន់នឹងកិច្ចខិតខំប្រឹងប្រែងដកយកសក្តានុពល។

សមត្ថភាពបំរែបំរួលនេះដើម្បីអនុវត្តការក្លែងបន្លំនៅលើឧបករណ៍ដែលមិនត្រូវបានរកឃើញ និងចាប់យកព័ត៌មានរសើប រួមជាមួយនឹងការកំណត់តាមបំណងដោយមិនខិតខំប្រឹងប្រែងសម្រាប់តួអង្គគំរាមកំហែងផ្សេងៗ បង្កើនហានិភ័យសម្រាប់អ្នកប្រើប្រាស់ធនាគារចល័តទូទាំងពិភពលោក។