Trojan Perbankan Octo2
Pakar keselamatan siber telah mengenal pasti varian terkini Trojan perbankan Android yang dikenali sebagai Octo. Varian ini kini dipertingkatkan dengan ciri canggih untuk memudahkan pengambilalihan peranti (DTO) dan membolehkan transaksi penipuan.
Digelar Octo2 oleh penciptanya, versi baharu ini telah diedarkan dalam kempen yang mengelirukan di seluruh negara Eropah, termasuk Itali, Poland, Moldova dan Hungary. Pembangun telah berusaha untuk meningkatkan kestabilan tindakan jauh yang diperlukan untuk serangan pengambilalihan peranti yang berjaya.
Isi kandungan
Kemunculan Octo Mobile Malware
Octo pada mulanya dikenal pasti oleh penyelidik pada awal 2022 dan dikaitkan dengan pelakon ancaman yang dikenali dengan alias dalam talian Arkitek dan goodluck. Ia telah dinilai sebagai 'keturunan langsung' perisian hasad Exobot , yang pertama kali dikesan pada 2016 dan kemudiannya menimbulkan varian lain yang dipanggil Coper pada 2021.
Dibangunkan daripada kod sumber perbankan Trojan Marche r , Exobot dikekalkan secara aktif sehingga 2018, menyasarkan institusi kewangan melalui pelbagai kempen terutamanya di Turki, Perancis, Jerman, serta Australia, Thailand dan Jepun. Berikutan itu, versi diperkemas dikenali sebagai ExobotCompact dikeluarkan oleh pelakon ancaman yang disebut sebagai 'android' di forum Web gelap.
Aplikasi yang Membawa Trojan Perbankan Octo2
Beberapa aplikasi berbahaya yang dikaitkan dengan Octo2 termasuk Europe Enterprise (com.xsusb_restore3), Google Chrome (com.havirtual06numberresources) dan NordVPN (com.handedfastee5).
Aplikasi Android penyangak ini, yang mengedarkan perisian hasad, menggunakan perkhidmatan mengikat APK yang dikenali dipanggil Zombinder. Perkhidmatan ini membolehkan trojanisasi aplikasi yang sah, membolehkan mereka memuat turun perisian hasad sebenar (dalam kes ini, Octo2) dengan berpura-pura memasang 'pemalam yang diperlukan.'
Pada masa ini, tiada bukti yang menunjukkan bahawa Octo2 sedang disebarkan melalui Gedung Google Play, yang membayangkan bahawa pengguna sama ada memuat turun aplikasi ini daripada sumber yang tidak boleh dipercayai atau ditipu untuk memasangnya melalui taktik kejuruteraan sosial.
Dengan kod sumber perisian hasad Octo yang asal telah bocor dan tersedia untuk pelbagai pelaku ancaman, Octo2 meningkatkan pangkalan ini dengan keupayaan capaian jauh yang lebih mantap dan teknik pengeliruan lanjutan.
Octo2 Dilengkapi dengan Keupayaan Mengancam Yang Diperluaskan
Satu lagi perkembangan penting ialah evolusi Octo menjadi model Malware-as-a-Service (MaaS), menurut Team Cymru. Peralihan ini membolehkan pembangun mendapat keuntungan dengan menyediakan perisian hasad kepada penjenayah siber yang ingin menjalankan operasi kecurian maklumat.
Dalam mempromosikan kemas kini, pemilik Octo mengumumkan bahawa Octo2 akan tersedia kepada pengguna Octo1 sedia ada pada harga yang sama dengan pilihan akses awal. Penyelidik Infosec menjangkakan bahawa mereka yang sebelum ini menggunakan Octo1 akan beralih kepada Octo2, sekali gus meningkatkan kehadirannya dalam landskap ancaman global.
Salah satu peningkatan utama dalam Octo2 ialah pelaksanaan Algoritma Penjanaan Domain (DGA) untuk menjana nama pelayan Perintah-dan-Kawalan (C2), bersama-sama dengan penambahbaikan dalam kestabilan keseluruhan dan teknik anti-analisis.
Menggunakan sistem C2 berasaskan DGA memberikan kelebihan yang ketara, membolehkan pelaku ancaman bertukar dengan pantas kepada pelayan C2 baharu, yang mengurangkan keberkesanan senarai sekat nama domain dan meningkatkan daya tahan terhadap usaha penyingkiran yang berpotensi.
Keupayaan varian ini untuk melaksanakan penipuan pada peranti tanpa dikesan dan menangkap maklumat sensitif, digabungkan dengan penyesuaian mudahnya untuk pelbagai pelaku ancaman, meningkatkan risiko untuk pengguna perbankan mudah alih di seluruh dunia.
