Octo2 Banking Trojan
Eksperter på nettsikkerhet har identifisert en oppdatert variant av Android-banktrojaneren kjent som Octo. Denne varianten er nå forbedret med avanserte funksjoner for å lette enhetsovertakelse (DTO) og muliggjøre uredelige transaksjoner.
Denne nye versjonen, kalt Octo2 av skaperne, har blitt distribuert i villedende kampanjer på tvers av europeiske nasjoner, inkludert Italia, Polen, Moldova og Ungarn. Utviklerne har jobbet for å forbedre stabiliteten til de eksterne handlingene som kreves for vellykkede enhetsangrep.
Innholdsfortegnelse
Fremveksten av Octo Mobile Malware
Octo ble opprinnelig identifisert av forskere tidlig i 2022 og tilskrives en trusselaktør kjent av nettaliasene Architect og goodluck. Det har blitt evaluert som en "direkte etterkommer" av Exobot -malwaren, som først ble oppdaget i 2016 og senere ga opphav til en annen variant kalt Coper i 2021.
Utviklet fra kildekoden til banktrojaneren Marche r , ble Exobot aktivt vedlikeholdt frem til 2018, rettet mot finansinstitusjoner gjennom ulike kampanjer primært i Tyrkia, Frankrike, Tyskland, samt Australia, Thailand og Japan. Etter dette ble en strømlinjeformet versjon kjent som ExobotCompact utgitt av trusselaktøren referert til som 'android' på mørke nettfora.
Applikasjoner som bærer Octo2 Banking Trojan
Flere skadelige applikasjoner knyttet til Octo2 inkluderer Europe Enterprise (com.xsusb_restore3), Google Chrome (com.havirtual06numberresources) og NordVPN (com.handedfastee5).
Disse useriøse Android-applikasjonene, som distribuerer skadelig programvare, bruker en kjent APK-bindingstjeneste kalt Zombinder. Denne tjenesten muliggjør trojanisering av legitime programmer, slik at de kan laste ned den faktiske skadelige programvaren (i dette tilfellet Octo2) under påskudd av å installere en "nødvendig plugin".
Foreløpig er det ingen bevis som tyder på at Octo2 blir spredt gjennom Google Play Store, noe som innebærer at brukere enten laster ned disse applikasjonene fra upålitelige kilder eller blir lurt til å installere dem gjennom taktikk for sosial ingeniørkunst.
Med den originale Octo-malwarens kildekode allerede lekket og lett tilgjengelig for ulike trusselaktører, forbedrer Octo2 denne basen med enda mer robuste fjerntilgangsmuligheter og avanserte tilsløringsteknikker.
Octo2 er utstyrt med utvidede trusselegenskaper
En annen betydelig utvikling er Octos utvikling til en Malware-as-a-Service (MaaS) modell, ifølge Team Cymru. Dette skiftet gjør det mulig for utvikleren å tjene penger ved å gi skadevare til nettkriminelle som ønsker å utføre informasjonstyveri.
I promoteringen av oppdateringen kunngjorde eieren av Octo at Octo2 ville være tilgjengelig for eksisterende brukere av Octo1 til samme pris med alternativer for tidlig tilgang. Infosec-forskere forventer at de som tidligere brukte Octo1 vil gå over til Octo2, og dermed øke tilstedeværelsen i det globale trussellandskapet.
En av de viktigste forbedringene i Octo2 er implementeringen av en Domain Generation Algorithm (DGA) for å generere Command-and-Control (C2) servernavn, sammen med forbedringer i generell stabilitet og antianalyseteknikker.
Å bruke et DGA-basert C2-system gir en betydelig fordel, som lar trusselaktører raskt bytte til nye C2-servere, noe som reduserer effektiviteten til blokkeringslister for domenenavn og øker motstandskraften mot potensielle fjerningsarbeid.
Denne variantens evne til å utføre svindel på enheten uoppdaget og fange opp sensitiv informasjon, kombinert med dens uanstrengte tilpasning for ulike trusselaktører, øker risikoen for mobilbankbrukere over hele verden.
