옥토 뱅킹 트로이목마

사이버 보안 연구원들은 또 다른 강력한 Android 뱅킹 트로이 목마의 흔적을 포착할 수 있었습니다. 위협은 Octo로 추적되었으며 맬웨어 연구원이 수행한 분석에 따르면 Exobot 으로 알려진 모바일 맬웨어 제품군의 일부입니다. 보다 구체적으로, Octo는 ExobotCompact 위협의 수정된 버전인 것으로 보입니다. 이 브랜드 변경은 사이버 범죄자들이 새로운 변종을 위협적인 새로운 창조물로 제시하고 Exobot의 소스 코드가 유출되었다는 사실과 거리를 두려는 시도로 수행되었을 수 있습니다.

미끼 응용 프로그램

Octo 위협은 드롭퍼 역할을 하는 손상된 애플리케이션을 통해 배포되었습니다. 일부 응용 프로그램은 Google Play 스토어에서 한동안 사용할 수 있었고 50,000개 이상의 다운로드를 축적했습니다. Octo의 운영자는 또한 브라우저 업데이트를 가장하여 피해자의 기기에 애플리케이션을 떨어뜨리는 사기성 웹사이트와 방문 페이지를 사용했습니다. 악성 응용 프로그램은 응용 프로그램 설치 프로그램, 스크린 레코더 및 금융 응용 프로그램으로 가장했습니다. Octo 위협을 전달하는 확인된 애플리케이션에는 Pocket Screencaster(com.moh.screen), Fast Cleaner 2021(vizeeva.fast.cleaner), Postbank Security(com.carbuildz), BAWAG PSK Security(com.frontwonder2), Play Store 등이 있습니다. 앱 설치(com.theseeye5) 등

위협적인 능력

사용자는 사기성 프로그램에 대한 접근성 서비스 권한을 부여해야 합니다. Octo가 악용하는 또 다른 합법적인 서비스는 Android의 MediaProjection API입니다. 이를 통해 위협 요소가 장치 화면의 내용을 실시간으로 캡처할 수 있습니다. 실제로 이것은 Octo가 운영자의 수동 입력 없이 자동으로 온디바이스 사기(ODF)를 수행할 수 있음을 의미합니다. 위협은 사용자의 로그인 자격 증명을 얻기 위해 여러 금융 및 은행 애플리케이션에 대해 오버레이 공격을 수행할 수 있습니다. Octo는 또한 키로깅 루틴을 설정하고, 연락처 정보를 수집하고, 장치를 원격 제어하는 등의 작업을 수행할 수 있습니다. 위협은 또한 탐지를 더 어렵게 만드는 회피 기술과 손상된 장치에 장기간 존재하도록 보장하는 지속성 메커니즘을 갖추고 있습니다.