Octo2 Banking-Trojan
Cybersecurity-experts hebben een bijgewerkte variant van de Android banking Trojan geïdentificeerd, bekend als Octo. Deze variant is nu verbeterd met geavanceerde functies om device takeover (DTO) te vergemakkelijken en frauduleuze transacties mogelijk te maken.
Deze nieuwe versie, door de makers Octo2 genoemd, is verspreid in misleidende campagnes in Europese landen, waaronder Italië, Polen, Moldavië en Hongarije. De ontwikkelaars hebben gewerkt aan het verbeteren van de stabiliteit van de externe acties die nodig zijn voor succesvolle apparaatovername-aanvallen.
Inhoudsopgave
De opkomst van de Octo Mobile Malware
Octo werd begin 2022 voor het eerst geïdentificeerd door onderzoekers en wordt toegeschreven aan een dreigingsactor die bekend staat onder de online aliassen Architect en goodluck. Het is geëvalueerd als een 'directe afstammeling' van de Exobot- malware, die voor het eerst werd gedetecteerd in 2016 en later in 2021 aanleiding gaf tot een andere variant genaamd Coper .
Exobot, ontwikkeld op basis van de broncode van de banking-Trojan Marcher , werd tot 2018 actief onderhouden en richtte zich op financiële instellingen via verschillende campagnes, voornamelijk in Turkije, Frankrijk, Duitsland, maar ook in Australië, Thailand en Japan. Hierna werd een gestroomlijnde versie, bekend als ExobotCompact, uitgebracht door de dreigingsactor die op darkwebforums wordt aangeduid als 'android'.
Toepassingen die de Octo2 Banking Trojan bevatten
Enkele schadelijke applicaties die met Octo2 in verband worden gebracht, zijn Europe Enterprise (com.xsusb_restore3), Google Chrome (com.havirtual06numberresources) en NordVPN (com.handedfastee5).
Deze malafide Android-applicaties, die de malware verspreiden, maken gebruik van een bekende APK-bindingsservice genaamd Zombinder. Deze service maakt de trojanisering van legitieme applicaties mogelijk, waardoor ze de daadwerkelijke malware (in dit geval Octo2) kunnen downloaden onder het voorwendsel van het installeren van een 'noodzakelijke plugin.'
Er is momenteel geen bewijs dat Octo2 via de Google Play Store wordt verspreid. Dit betekent dat gebruikers deze applicaties downloaden van onbetrouwbare bronnen of dat ze via social engineering worden misleid om ze te installeren.
Nu de broncode van de originele Octo-malware is gelekt en direct toegankelijk is voor verschillende kwaadwillenden, breidt Octo2 deze basis uit met nog robuustere mogelijkheden voor externe toegang en geavanceerde verhullingstechnieken.
Octo2 is uitgerust met uitgebreide bedreigingsmogelijkheden
Een andere belangrijke ontwikkeling is Octo's evolutie naar een Malware-as-a-Service (MaaS)-model, aldus Team Cymru. Deze verschuiving stelt de ontwikkelaar in staat om winst te maken door de malware te leveren aan cybercriminelen die informatie willen stelen.
Bij het promoten van de update kondigde de eigenaar van Octo aan dat Octo2 beschikbaar zou zijn voor bestaande gebruikers van Octo1 tegen dezelfde prijs met opties voor vroege toegang. Infosec-onderzoekers verwachten dat degenen die Octo1 eerder gebruikten, zullen overstappen naar Octo2, waardoor de aanwezigheid ervan in het wereldwijde dreigingslandschap toeneemt.
Een van de belangrijkste verbeteringen in Octo2 is de implementatie van een Domain Generation Algorithm (DGA) om de Command-and-Control (C2) servernamen te genereren, samen met verbeteringen in de algemene stabiliteit en anti-analysetechnieken.
Het gebruik van een DGA-gebaseerd C2-systeem biedt een aanzienlijk voordeel, omdat kwaadwillenden hierdoor snel kunnen overschakelen naar nieuwe C2-servers. Dit vermindert de effectiviteit van blokkeerlijsten voor domeinnamen en vergroot de weerbaarheid tegen mogelijke verwijderingspogingen.
De mogelijkheid van deze variant om onopgemerkt fraude op het apparaat uit te voeren en gevoelige informatie te verzamelen, gecombineerd met de moeiteloze aanpassing aan verschillende bedreigingsactoren, verhoogt het risico voor gebruikers van mobiel bankieren wereldwijd.
