Octo Banking Trojan

Badacze cyberbezpieczeństwa zdołali wyłapać ślady innego silnego trojana bankowego dla Androida. Zagrożenie jest śledzone jako Octo i według analizy przeprowadzonej przez badaczy szkodliwego oprogramowania jest ono częścią rodziny mobilnego szkodliwego oprogramowania znanej jako Exobot. Mówiąc dokładniej, Octo wydaje się być poprawioną wersją zagrożenia ExobotCompact. Ta zmiana nazwy mogła zostać dokonana przez cyberprzestępców, jako próba przedstawienia nowych wariantów jako zupełnie nowych, groźnych kreacji i zdystansowania ich od faktu wycieku kodu źródłowego Exobota.

Aplikacje wabika

Zagrożenie Octo było rozpowszechniane za pośrednictwem uszkodzonych aplikacji, które działają jako droppery. Niektóre aplikacje były przez pewien czas dostępne w sklepie Google Play, gdzie udało się zebrać ponad 50 tys. pobrań. Operatorzy Octo wykorzystywali również zwodnicze strony internetowe i strony docelowe, które pod przykrywką aktualizacji przeglądarki umieszczały aplikacje na urządzeniach ofiary. Nieuczciwe aplikacje podszywały się pod instalatory aplikacji, rejestratory ekranu i aplikacje finansowe. Niektóre ze zidentyfikowanych aplikacji dostarczających zagrożenie Octo to: Pocket Screencaster (com.moh.screen), Fast Cleaner 2021 (vizeeva.fast.cleaner), Postbank Security (com.carbuildz), BAWAG PSK Security (com.frontwonder2), Play Store instalacja aplikacji (com.theseeye5) itp.

Zdolności grożące

Użytkownicy zostaną poproszeni o przyznanie uprawnień usług ułatwień dostępu fałszywym programom. Inną legalną usługą wykorzystywaną przez Octo jest Android MediaProjection API. Umożliwia zagrożeniu przechwytywanie zawartości ekranu urządzenia w czasie rzeczywistym. W praktyce oznacza to, że Octo może automatycznie przeprowadzać oszustwa na urządzeniu (ODF) bez ręcznego wprowadzania przez operatorów. Zagrożenie może przeprowadzać ataki typu overlay przeciwko wielu aplikacjom finansowym i bankowym w celu uzyskania danych logowania użytkownika. Octo może również ustanawiać procedury keyloggera, zbierać informacje kontaktowe, uzyskiwać zdalną kontrolę nad urządzeniem i nie tylko. Zagrożenie jest również wyposażone w techniki unikania, które utrudniają wykrycie, oraz mechanizmy trwałości, które zapewniają jego przedłużoną obecność na zaatakowanych urządzeniach.