Troian Octo Banking

Cercetătorii în domeniul securității cibernetice au reușit să surprindă urmele unui alt troian bancar Android puternic. Amenințarea a fost urmărită ca Octo și, conform analizei efectuate de cercetătorii de programe malware, face parte dintr-o familie de malware mobil cunoscută sub numele de Exobot . Mai precis, Octo pare a fi o versiune revizuită a amenințării ExobotCompact. Este posibil ca acest rebrand să fi fost făcut de infractorii cibernetici, ca o încercare de a prezenta noile variante ca creații amenințătoare noi și de a le îndepărta de faptul că codul sursă al Exobot a fost scurs.

Aplicații de momeală

Amenințarea Octo a fost distribuită prin aplicații corupte care acționează ca droppers. Unele dintre aplicații au fost disponibile o vreme pe Google Play Store, unde au reușit să acumuleze peste 50 de mii de descărcări. Operatorii lui Octo au folosit, de asemenea, site-uri web înșelătoare și pagini de destinație care au aruncat aplicațiile pe dispozitivele victimei, sub masca actualizărilor de browser. Aplicațiile necinstite se dădeau drept instalatori de aplicații, înregistratoare de ecran și aplicații financiare. Unele dintre aplicațiile identificate care furnizează amenințarea Octo au inclus Pocket Screencaster (com.moh.screen), Fast Cleaner 2021 (vizeeva.fast.cleaner), Postbank Security (com.carbuildz), BAWAG PSK Security (com.frontwonder2), Play Store instalarea aplicației (com.theseeye5), etc.

Capacități de amenințare

Utilizatorilor li se va cere să acorde permisiuni pentru serviciile de accesibilitate programelor frauduloase. Un alt serviciu legitim exploatat de Octo este API-ul Android MediaProjection. Acesta permite amenințării să captureze conținutul ecranului dispozitivului în timp real. În practică, aceasta înseamnă că Octo poate efectua fraude pe dispozitiv (ODF) în mod automat, fără introducerea manuală a operatorilor săi. Amenințarea poate efectua atacuri de suprapunere împotriva mai multor aplicații financiare și bancare pentru a obține acreditările de conectare ale utilizatorului. Octo poate, de asemenea, să stabilească rutine de înregistrare a tastelor, să colecteze informații de contact, să obțină control de la distanță asupra dispozitivului și multe altele. Amenințarea este, de asemenea, echipată cu tehnici de evaziune pentru a face detectarea mai dificilă și mecanisme de persistență pentru a asigura prezența sa prelungită pe dispozitivele compromise.