Troian bancar Octo2
Experții în securitate cibernetică au identificat o variantă actualizată a troianului bancar Android cunoscut sub numele de Octo. Această variantă este acum îmbunătățită cu funcții avansate pentru a facilita preluarea dispozitivului (DTO) și a permite tranzacțiile frauduloase.
Supranumită Octo2 de creatorii săi, această nouă versiune a fost distribuită în campanii înșelătoare în țările europene, inclusiv Italia, Polonia, Moldova și Ungaria. Dezvoltatorii au lucrat pentru a îmbunătăți stabilitatea acțiunilor de la distanță necesare pentru atacurile cu succes de preluare a dispozitivelor.
Cuprins
Apariția programului malware Octo Mobile
Octo a fost identificat inițial de cercetători la începutul anului 2022 și este atribuit unui actor de amenințare cunoscut sub pseudonimul online Architect și goodluck. A fost evaluat ca un „descendent direct” al malware-ului Exobot , care a fost detectat pentru prima dată în 2016 și a dat naștere ulterior unei alte variante numite Coper în 2021.
Dezvoltat din codul sursă al troianului bancar Marche r , Exobot a fost menținut activ până în 2018, vizând instituțiile financiare prin diverse campanii în primul rând în Turcia, Franța, Germania, precum și Australia, Thailanda și Japonia. După aceasta, o versiune simplificată cunoscută sub numele de ExobotCompact a fost lansată de actorul de amenințare denumit „android” pe forumurile dark Web.
Aplicații care poartă troianul bancar Octo2
Mai multe aplicații dăunătoare asociate cu Octo2 includ Europe Enterprise (com.xsusb_restore3), Google Chrome (com.havirtual06numberresources) și NordVPN (com.handedfastee5).
Aceste aplicații Android necinstite, care distribuie malware, utilizează un serviciu cunoscut de legare APK numit Zombinder. Acest serviciu permite troianizarea aplicațiilor legitime, permițându-le să descarce malware-ul propriu-zis (în acest caz, Octo2) sub pretenția de a instala un „plugin necesar”.
În prezent, nu există dovezi care să sugereze că Octo2 este răspândit prin Magazinul Google Play, ceea ce înseamnă că utilizatorii fie descarcă aceste aplicații din surse nesigure, fie sunt înșelați să le instaleze prin tactici de inginerie socială.
Cu codul sursă al malware-ului original Octo deja scurs și ușor disponibil pentru diverși actori de amenințări, Octo2 îmbunătățește această bază cu capabilități și mai solide de acces la distanță și tehnici avansate de ofuscare.
Octo2 este echipat cu capacități extinse de amenințare
O altă dezvoltare semnificativă este evoluția lui Octo într-un model Malware-as-a-Service (MaaS), conform echipei Cymru. Această schimbare permite dezvoltatorului să profite prin furnizarea de malware infractorilor cibernetici care doresc să efectueze operațiuni de furt de informații.
În promovarea actualizării, proprietarul Octo a anunțat că Octo2 va fi disponibil pentru utilizatorii existenți ai Octo1 la același preț cu opțiuni de acces anticipat. Cercetătorii Infosec anticipează că cei care au folosit anterior Octo1 vor trece la Octo2, crescând astfel prezența acestuia în peisajul amenințărilor globale.
Una dintre îmbunătățirile cheie ale Octo2 este implementarea unui algoritm de generare a domeniilor (DGA) pentru a genera numele serverelor Command-and-Control (C2), împreună cu îmbunătățiri ale stabilității generale și tehnicilor anti-analiza.
Utilizarea unui sistem C2 bazat pe DGA oferă un avantaj semnificativ, permițând actorilor amenințărilor să treacă rapid la noi servere C2, ceea ce diminuează eficiența listelor de nume de domenii blocate și îmbunătățește rezistența împotriva potențialelor eforturi de eliminare.
Capacitatea acestei variante de a executa fraude pe dispozitiv nedetectate și de a captura informații sensibile, combinată cu personalizarea fără efort pentru diverși actori amenințări, crește riscul pentru utilizatorii de servicii bancare mobile din întreaga lume.
