Octo2 Banking Trojan
Eksperci ds. cyberbezpieczeństwa zidentyfikowali zaktualizowaną wersję trojana bankowego Androida znaną jako Octo. Ta wersja została teraz wzbogacona o zaawansowane funkcje ułatwiające przejmowanie urządzeń (DTO) i umożliwiające oszukańcze transakcje.
Nazwana przez twórców Octo2, ta nowa wersja była dystrybuowana w mylących kampaniach w krajach europejskich, w tym we Włoszech, Polsce, Mołdawii i na Węgrzech. Deweloperzy pracowali nad poprawą stabilności zdalnych działań wymaganych do udanych ataków przejęcia urządzenia.
Spis treści
Pojawienie się złośliwego oprogramowania Octo Mobile
Octo został pierwotnie zidentyfikowany przez badaczy na początku 2022 r. i przypisuje się go aktorowi zagrożeń znanemu pod pseudonimami internetowymi Architect i goodluck. Został oceniony jako „bezpośredni potomek” złośliwego oprogramowania Exobot , które zostało po raz pierwszy wykryte w 2016 r., a później dało początek kolejnej odmianie o nazwie Coper w 2021 r.
Opracowany na podstawie kodu źródłowego bankowego trojana Marche r , Exobot był aktywnie utrzymywany do 2018 r., atakując instytucje finansowe za pośrednictwem różnych kampanii, głównie w Turcji, Francji, Niemczech, a także w Australii, Tajlandii i Japonii. Następnie uproszczona wersja znana jako ExobotCompact została wydana przez aktora zagrożeń określanego jako „android” na forach dark web.
Aplikacje zawierające trojana bankowego Octo2
Do szkodliwych aplikacji powiązanych z Octo2 zalicza się Europe Enterprise (com.xsusb_restore3), Google Chrome (com.havirtual06numberresources) i NordVPN (com.handedfastee5).
Te nieuczciwe aplikacje Androida, które rozpowszechniają malware, wykorzystują znaną usługę wiązania APK o nazwie Zombinder. Usługa ta umożliwia trojanizację legalnych aplikacji, pozwalając im pobrać rzeczywiste malware (w tym przypadku Octo2) pod pretekstem zainstalowania „niezbędnej wtyczki”.
Obecnie nie ma dowodów sugerujących, że Octo2 rozprzestrzenia się za pośrednictwem sklepu Google Play, co oznacza, że użytkownicy albo pobierają te aplikacje z niepewnych źródeł, albo są oszukiwani i instalują je za pomocą technik inżynierii społecznej.
Ponieważ oryginalny kod źródłowy złośliwego oprogramowania Octo wyciekł i jest łatwo dostępny dla różnych cyberprzestępców, Octo2 rozszerza tę bazę o jeszcze bardziej niezawodne funkcje zdalnego dostępu i zaawansowane techniki zaciemniania.
Octo2 jest wyposażony w rozszerzone możliwości grożenia
Innym znaczącym wydarzeniem jest ewolucja Octo w kierunku modelu Malware-as-a-Service (MaaS), według Team Cymru. Ta zmiana pozwala deweloperowi czerpać zyski, dostarczając złośliwe oprogramowanie cyberprzestępcom, którzy chcą przeprowadzić operacje kradzieży informacji.
Promując aktualizację, właściciel Octo ogłosił, że Octo2 będzie dostępne dla obecnych użytkowników Octo1 w tej samej cenie z opcjami wczesnego dostępu. Badacze Infosec przewidują, że osoby wcześniej korzystające z Octo1 przejdą na Octo2, zwiększając tym samym jego obecność w globalnym krajobrazie zagrożeń.
Jednym z najważniejszych udoskonaleń w Octo2 jest implementacja algorytmu generowania domen (DGA) w celu generowania nazw serwerów poleceń i kontroli (C2), a także udoskonalenia w zakresie ogólnej stabilności i technik przeciwdziałania analizie.
Wykorzystanie systemu C2 bazującego na DGA zapewnia znaczną przewagę, umożliwiając atakującym szybkie przełączenie się na nowe serwery C2, co zmniejsza skuteczność list blokowanych nazw domen i zwiększa odporność na potencjalne próby ich usunięcia.
Zdolność tej wersji do przeprowadzania oszustw na urządzeniach bez wykrycia i przechwytywania poufnych informacji, w połączeniu z możliwością łatwego dostosowania do różnych zagrożeń, zwiększa ryzyko dla użytkowników bankowości mobilnej na całym świecie.
