Octo2 Banking Trojas zirgs
Kiberdrošības eksperti ir identificējuši atjauninātu Android banku Trojas zirga variantu, kas pazīstams kā Octo. Šis variants tagad ir uzlabots ar uzlabotām funkcijām, lai atvieglotu ierīces pārņemšanu (DTO) un nodrošinātu krāpnieciskus darījumus.
Šī jaunā versija, ko tās veidotāji nodēvējuši par Octo2, ir izplatīta maldinošās kampaņās visās Eiropas valstīs, tostarp Itālijā, Polijā, Moldovā un Ungārijā. Izstrādātāji ir strādājuši, lai uzlabotu attālināto darbību stabilitāti, kas nepieciešamas veiksmīgiem ierīču pārņemšanas uzbrukumiem.
Satura rādītājs
Octo Mobile ļaunprogrammatūras parādīšanās
Sākotnēji pētnieki Octo identificēja 2022. gada sākumā, un to attiecina uz apdraudējuma dalībnieku, ko pazīst tiešsaistes pseidonīmi Arhitekts un Goodluck. Tas ir novērtēts kā Exobot ļaunprogrammatūras tiešais pēcnācējs, kas pirmo reizi tika atklāts 2016. gadā un vēlāk 2021. gadā radīja citu variantu ar nosaukumu Coper .
Exobot, kas izstrādāts no banku Trojas zirga Marche r pirmkoda, tika aktīvi uzturēts līdz 2018. gadam, dažādu kampaņu ietvaros mērķējot uz finanšu iestādēm galvenokārt Turcijā, Francijā, Vācijā, kā arī Austrālijā, Taizemē un Japānā. Pēc tam draudu aktieris, kas tumšajos tīmekļa forumos tika dēvēts par “android”, izlaida vienkāršotu versiju, kas pazīstama kā ExobotCompact.
Lietojumprogrammas, kurās ir Octo2 Banking Trojas zirgs
Vairākas ar Octo2 saistītas kaitīgas lietojumprogrammas ietver Europe Enterprise (com.xsusb_restore3), Google Chrome (com.havirtual06numberresources) un NordVPN (com.handedfastee5).
Šīs negodīgās Android lietojumprogrammas, kas izplata ļaunprātīgu programmatūru, izmanto zināmu APK saistīšanas pakalpojumu Zombinder. Šis pakalpojums nodrošina likumīgu lietojumprogrammu trojānizāciju, ļaujot tām lejupielādēt faktisko ļaunprogrammatūru (šajā gadījumā Octo2), aizbildinoties ar “nepieciešamā spraudņa” instalēšanu.
Pašlaik nav pierādījumu, kas liecinātu, ka Octo2 tiek izplatīts, izmantojot Google Play veikalu, kas nozīmē, ka lietotāji vai nu lejupielādē šīs lietojumprogrammas no neuzticamiem avotiem vai tiek maldināti, instalējot tās, izmantojot sociālās inženierijas taktikas.
Tā kā sākotnējās Octo ļaunprātīgās programmatūras pirmkods jau ir nopludināts un ir viegli pieejams dažādiem apdraudējumiem, Octo2 uzlabo šo bāzi ar vēl spēcīgākām attālās piekļuves iespējām un uzlabotām aizsprostošanās metodēm.
Octo2 ir aprīkots ar paplašinātām draudu iespējām
Vēl viens nozīmīgs notikums ir uzņēmuma Octo evolūcija par Malware-as-a-Service (MaaS) modeli, norāda Team Cymru. Šī maiņa ļauj izstrādātājam gūt peļņu, nodrošinot ļaunprātīgu programmatūru kibernoziedzniekiem, kuri vēlas veikt informācijas zādzību darbības.
Veicinot atjauninājumu, Octo īpašnieks paziņoja, ka Octo2 būs pieejams esošajiem Octo1 lietotājiem par tādu pašu cenu ar agrīnas piekļuves iespējām. Infosec pētnieki paredz, ka tie, kas iepriekš izmantoja Octo1, pāries uz Octo2, tādējādi palielinot tā klātbūtni globālo draudu vidē.
Viens no galvenajiem Octo2 uzlabojumiem ir domēna ģenerēšanas algoritma (DGA) ieviešana, lai ģenerētu Command-and-Control (C2) serveru nosaukumus, kā arī vispārējās stabilitātes un pretanalīzes metožu uzlabojumi.
Uz DGA balstītas C2 sistēmas izmantošana nodrošina ievērojamu priekšrocību, ļaujot apdraudējuma dalībniekiem ātri pārslēgties uz jauniem C2 serveriem, kas samazina domēna vārdu bloķēšanas sarakstu efektivitāti un uzlabo noturību pret iespējamiem noņemšanas centieniem.
Šī varianta spēja neatklāti veikt krāpšanu ierīcē un tvert sensitīvu informāciju, kā arī tā bez piepūles pielāgošana dažādiem apdraudējuma dalībniekiem, palielina mobilo banku lietotāju risku visā pasaulē.
