Банковский троян Octo2
Эксперты по кибербезопасности выявили обновленный вариант банковского трояна Android, известного как Octo. Этот вариант теперь дополнен расширенными функциями для облегчения захвата устройства (DTO) и осуществления мошеннических транзакций.
Эту новую версию, названную ее создателями Octo2, распространяли в рамках вводящих в заблуждение кампаний в европейских странах, включая Италию, Польшу, Молдову и Венгрию. Разработчики работали над повышением стабильности удаленных действий, необходимых для успешных атак по захвату устройств.
Оглавление
Появление вредоносного ПО Octo Mobile
Octo был первоначально идентифицирован исследователями в начале 2022 года и приписывается субъекту угрозы, известному под сетевыми псевдонимами Architect и goodluck. Он был оценен как «прямой потомок» вредоносного ПО Exobot , которое впервые было обнаружено в 2016 году и позже породило другой вариант под названием Coper в 2021 году.
Разработанный на основе исходного кода банковского трояна Marcher , Exobot активно поддерживался до 2018 года, нацеливаясь на финансовые учреждения посредством различных кампаний, в первую очередь в Турции, Франции, Германии, а также Австралии, Таиланде и Японии. После этого упрощенная версия, известная как ExobotCompact, была выпущена злоумышленником, которого на форумах даркнета называли «android».
Приложения, содержащие банковский троян Octo2
Несколько вредоносных приложений, связанных с Octo2, включают Europe Enterprise (com.xsusb_restore3), Google Chrome (com.havirtual06numberresources) и NordVPN (com.handedfastee5).
Эти мошеннические приложения Android, которые распространяют вредоносное ПО, используют известный сервис привязки APK под названием Zombinder. Этот сервис позволяет троянизировать легитимные приложения, позволяя им загружать настоящее вредоносное ПО (в данном случае Octo2) под предлогом установки «необходимого плагина».
В настоящее время нет никаких доказательств того, что Octo2 распространяется через Google Play Store, что говорит о том, что пользователи либо загружают эти приложения из ненадежных источников, либо их обманывают и заставляют устанавливать их с помощью тактики социальной инженерии.
Поскольку исходный код оригинального вредоносного ПО Octo уже был раскрыт и стал доступен различным злоумышленникам, Octo2 дополняет эту базу еще более надежными возможностями удаленного доступа и передовыми методами обфускации.
Octo2 оснащен расширенными возможностями создания угроз
Еще одним важным событием является эволюция Octo в модель Malware-as-a-Service (MaaS), согласно Team Cymru. Этот сдвиг позволяет разработчику получать прибыль, предоставляя вредоносное ПО киберпреступникам, стремящимся проводить операции по краже информации.
Продвигая обновление, владелец Octo объявил, что Octo2 будет доступен существующим пользователям Octo1 по той же цене с возможностью раннего доступа. Исследователи Infosec ожидают, что те, кто ранее использовал Octo1, перейдут на Octo2, тем самым увеличив свое присутствие в глобальном ландшафте угроз.
Одним из ключевых усовершенствований Octo2 является реализация алгоритма генерации домена (DGA) для генерации имен серверов управления и контроля (C2), а также улучшения общей стабильности и методов антианализа.
Использование системы C2 на основе DGA обеспечивает существенное преимущество, позволяя злоумышленникам быстро переключаться на новые серверы C2, что снижает эффективность списков блокировки доменных имен и повышает устойчивость к потенциальным попыткам блокировки.
Способность этого варианта осуществлять мошенничество на устройстве незамеченным и собирать конфиденциальную информацию в сочетании с его простой настройкой под различных субъектов угроз повышает риск для пользователей мобильного банкинга по всему миру.
