Octo2 Banking Trojos arklys
Kibernetinio saugumo ekspertai nustatė atnaujintą „Android“ bankininkystės Trojos arklys, žinomą kaip „Octo“, variantą. Šis variantas dabar patobulintas su pažangiomis funkcijomis, kurios palengvina įrenginio perėmimą (DTO) ir leidžia atlikti nesąžiningus sandorius.
Ši nauja versija, kurią kūrėjai pavadino Octo2, buvo platinama klaidinančiose kampanijose visose Europos šalyse, įskaitant Italiją, Lenkiją, Moldovą ir Vengriją. Kūrėjai stengėsi pagerinti nuotolinių veiksmų, reikalingų sėkmingoms įrenginio perėmimo atakoms, stabilumą.
Turinys
„Octo Mobile“ kenkėjiškų programų atsiradimas
Octo iš pradžių tyrėjai nustatė 2022 m. pradžioje ir priskiriamas grėsmės veikėjui, žinomam internetinių slapyvardžių Architect and goodluck. Jis buvo įvertintas kaip „tiesioginis „ Exobot “ kenkėjiškos programos palikuonis, kuri pirmą kartą buvo aptikta 2016 m., o vėliau 2021 m. atsirado kitas variantas, pavadintas „Coper“ .
Sukurtas iš bankinio Trojos arklys Marche r šaltinio kodo, Exobot buvo aktyviai prižiūrimas iki 2018 m., taikant įvairias kampanijas finansų institucijoms, visų pirma Turkijoje, Prancūzijoje, Vokietijoje, taip pat Australijoje, Tailande ir Japonijoje. Po to grėsmės veikėjas, tamsiuose interneto forumuose vadinamas „android“, išleido supaprastintą versiją, žinomą kaip „ExobotCompact“.
Programos, kuriose yra „Octo2 Banking Trojan“.
Kelios žalingos programos, susijusios su Octo2, yra „Europe Enterprise“ (com.xsusb_restore3), „Google Chrome“ (com.havirtual06numberresources) ir „NordVPN“ (com.handedfastee5).
Šios nesąžiningos „Android“ programos, platinančios kenkėjiškas programas, naudoja žinomą APK susiejimo paslaugą, vadinamą „Zombinder“. Ši paslauga leidžia trojanizuoti teisėtas programas, leidžiančias joms atsisiųsti tikrą kenkėjišką programą (šiuo atveju Octo2) apsimetant, kad įdiegtas „būtinas papildinys“.
Šiuo metu nėra jokių įrodymų, kad „Octo2“ būtų platinamas per „Google Play“ parduotuvę, o tai reiškia, kad vartotojai arba atsisiunčia šias programas iš nepatikimų šaltinių, arba yra apgaudinėjami, kad jas įdiegia pasitelkę socialinės inžinerijos taktiką.
Kadangi originalus „Octo“ kenkėjiškos programos šaltinio kodas jau nutekėjo ir yra lengvai pasiekiamas įvairiems grėsmės veikėjams, „Octo2“ patobulina šią bazę su dar patikimesnėmis nuotolinės prieigos galimybėmis ir pažangiomis užmaskavimo technikomis.
„Octo2“ yra aprūpintas išplėstinėmis grėsmės galimybėmis
Kitas svarbus pokytis yra „Octo“ evoliucija į kenkėjiškos paslaugos (MaaS) modelį, teigia Team Cymru. Šis pokytis leidžia kūrėjui pasipelnyti pateikdamas kenkėjišką programinę įrangą kibernetiniams nusikaltėliams, norintiems vykdyti informacijos vagystės operacijas.
Reklamuodamas atnaujinimą, „Octo“ savininkas paskelbė, kad „Octo2“ bus prieinamas esamiems „Octo1“ naudotojams ta pačia kaina su ankstyvos prieigos galimybėmis. „Infosec“ tyrėjai tikisi, kad tie, kurie anksčiau naudojo „Octo1“, pereis prie „Octo2“, taip padidindami jo buvimą pasaulinės grėsmės aplinkoje.
Vienas iš pagrindinių „Octo2“ patobulinimų yra domenų generavimo algoritmo (DGA) įgyvendinimas, skirtas generuoti komandų ir valdymo (C2) serverių pavadinimus, kartu patobulintas bendras stabilumas ir antianalizės metodai.
DGA pagrindu veikiančios C2 sistemos naudojimas suteikia didelį pranašumą, leidžiantį grėsmės veikėjams greitai pereiti prie naujų C2 serverių, o tai sumažina domenų vardų blokavimo sąrašų efektyvumą ir padidina atsparumą galimoms panaikinimo pastangoms.
Šio varianto galimybė nepastebimai vykdyti sukčiavimą įrenginyje ir užfiksuoti neskelbtiną informaciją, kartu su lengvu pritaikymu įvairiems grėsmės veiksniams, padidina mobiliosios bankininkystės naudotojų riziką visame pasaulyje.
