Octo2 뱅킹 트로이 목마

사이버 보안 전문가들은 Octo로 알려진 안드로이드 뱅킹 트로이 목마의 업데이트된 변종을 식별했습니다. 이 변종은 이제 장치 인수(DTO)를 용이하게 하고 사기 거래를 가능하게 하는 고급 기능으로 강화되었습니다.

제작자가 Octo2라고 명명한 이 새로운 버전은 이탈리아, 폴란드, 몰도바, 헝가리를 포함한 유럽 국가 전역에서 오해의 소지가 있는 캠페인에 배포되었습니다. 개발자는 성공적인 장치 인수 공격에 필요한 원격 작업의 안정성을 개선하기 위해 노력했습니다.

Octo Mobile 맬웨어의 등장

Octo는 2022년 초에 연구원들에 의해 처음 발견되었으며 온라인 별칭 Architect와 goodluck으로 알려진 위협 행위자에 기인합니다. 2016년에 처음 발견되어 나중에 2021년에 Coper 라는 또 다른 변종을 낳은 Exobot 맬웨어의 '직계 후손'으로 평가되었습니다.

은행 트로이 목마 Marche r 의 소스 코드에서 개발된 Exobot은 2018년까지 활발히 유지되었으며, 주로 터키, 프랑스, 독일, 호주, 태국, 일본에서 다양한 캠페인을 통해 금융 기관을 표적으로 삼았습니다. 그 후, 다크 웹 포럼에서 'android'라고 불리는 위협 행위자가 ExobotCompact라는 간소화된 버전을 출시했습니다.

Octo2 뱅킹 트로이 목마를 운반하는 애플리케이션

Octo2와 관련된 몇몇 유해한 애플리케이션으로는 Europe Enterprise(com.xsusb_restore3), Google Chrome(com.havirtual06numberresources), NordVPN(com.handedfastee5) 등이 있습니다.

멀웨어를 배포하는 이러한 악성 안드로이드 애플리케이션은 Zombinder라는 알려진 APK 바인딩 서비스를 활용합니다. 이 서비스는 합법적인 애플리케이션의 트로이 목마화를 가능하게 하여 '필요한 플러그인'을 설치한다는 명목으로 실제 멀웨어(이 경우 Octo2)를 다운로드할 수 있도록 합니다.

현재 Octo2가 Google Play Store를 통해 확산되고 있다는 증거는 없습니다. 즉, 사용자는 신뢰할 수 없는 출처에서 이러한 애플리케이션을 다운로드하거나 소셜 엔지니어링 전략을 통해 속아 설치되고 있는 것으로 보입니다.

원래 Octo 맬웨어의 소스 코드가 이미 유출되어 다양한 위협 행위자에게 쉽게 제공되는 가운데, Octo2는 훨씬 더 강력한 원격 액세스 기능과 고급 난독화 기술을 제공하여 이를 강화합니다.

Octo2는 확장된 위협 기능을 갖추고 있습니다.

Team Cymru에 따르면 또 다른 중요한 발전은 Octo가 Malware-as-a-Service(MaaS) 모델로 진화한 것입니다. 이러한 전환을 통해 개발자는 정보 도용 작전을 수행하려는 사이버 범죄자에게 맬웨어를 제공하여 수익을 올릴 수 있습니다.

업데이트를 홍보하면서 Octo의 소유자는 Octo2가 조기 액세스 옵션과 함께 동일한 가격으로 Octo1의 기존 사용자에게 제공될 것이라고 발표했습니다. 정보 보안 연구원들은 이전에 Octo1을 사용하던 사람들이 Octo2로 전환하여 글로벌 위협 환경에서 Octo2의 존재감을 높일 것으로 예상합니다.

Octo2의 주요 개선 사항 중 하나는 전반적인 안정성과 분석 방지 기술이 개선된 것과 더불어 명령 및 제어(C2) 서버 이름을 생성하는 도메인 생성 알고리즘(DGA)을 구현한 것입니다.

DGA 기반 C2 시스템을 활용하면 상당한 이점을 얻을 수 있으며, 위협 요인이 새로운 C2 서버로 신속하게 전환할 수 있으므로 도메인 이름 차단 목록의 효과가 떨어지고 잠재적인 제거 노력에 대한 회복력이 향상됩니다.

이 변종은 감지되지 않은 채 기기 내에서 사기를 실행하고 민감한 정보를 수집할 수 있는 기능과 다양한 위협 행위자에 맞춰 손쉽게 사용자 정의할 수 있는 기능이 결합되어 전 세계 모바일 뱅킹 사용자의 위험을 증가시킵니다.