Bankový trójsky kôň Octo2
Odborníci na kybernetickú bezpečnosť identifikovali aktualizovaný variant trójskeho koňa Android banking známeho ako Octo. Tento variant je teraz vylepšený o pokročilé funkcie na uľahčenie prevzatia zariadenia (DTO) a umožnenie podvodných transakcií.
Táto nová verzia, ktorú jej tvorcovia nazvali Octo2, bola distribuovaná v zavádzajúcich kampaniach po európskych krajinách vrátane Talianska, Poľska, Moldavska a Maďarska. Vývojári pracovali na zlepšení stability vzdialených akcií potrebných na úspešné útoky na prevzatie zariadenia.
Obsah
Vznik škodlivého softvéru Octo Mobile
Octo bol pôvodne identifikovaný výskumníkmi začiatkom roku 2022 a je pripisovaný aktérovi hrozby známemu pod online prezývkami Architect a goodluck. Bol vyhodnotený ako „priamy potomok“ malvéru Exobot , ktorý bol prvýkrát zistený v roku 2016 a neskôr v roku 2021 viedol k ďalšiemu variantu s názvom Coper .
Exobot bol vyvinutý zo zdrojového kódu bankového trójskeho koňa Marche r , bol aktívne udržiavaný až do roku 2018 a zameriaval sa na finančné inštitúcie prostredníctvom rôznych kampaní predovšetkým v Turecku, Francúzsku, Nemecku, ako aj v Austrálii, Thajsku a Japonsku. V nadväznosti na to bola vydaná zjednodušená verzia známa ako ExobotCompact hercom označovaným ako „android“ na temných webových fórach.
Aplikácie nesúce trójskeho koňa Octo2 Banking
Niekoľko škodlivých aplikácií spojených s Octo2 zahŕňa Europe Enterprise (com.xsusb_restore3), Google Chrome (com.havirtual06numberresources) a NordVPN (com.handedfastee5).
Tieto nečestné aplikácie pre Android, ktoré distribuujú malvér, využívajú známu službu viazania APK s názvom Zombinder. Táto služba umožňuje trojanizáciu legitímnych aplikácií a umožňuje im stiahnuť skutočný malvér (v tomto prípade Octo2) pod zámienkou inštalácie „nevyhnutného zásuvného modulu“.
V súčasnosti neexistujú žiadne dôkazy, ktoré by naznačovali, že Octo2 sa šíri prostredníctvom obchodu Google Play, čo znamená, že používatelia buď sťahujú tieto aplikácie z nespoľahlivých zdrojov, alebo sú oklamaní, aby si ich nainštalovali prostredníctvom taktiky sociálneho inžinierstva.
Keďže pôvodný zdrojový kód malvéru Octo už unikol a je ľahko dostupný rôznym aktérom hrozieb, Octo2 túto základňu vylepšuje o ešte robustnejšie možnosti vzdialeného prístupu a pokročilé techniky zahmlievania.
Octo2 je vybavený rozšírenými schopnosťami ohrozovania
Ďalším významným vývojom je vývoj Octo na model Malware-as-a-Service (MaaS), podľa tímu Cymru. Tento posun umožňuje vývojárom profitovať z poskytovania malvéru počítačovým zločincom, ktorí sa snažia vykonávať operácie krádeže informácií.
Pri propagácii aktualizácie vlastník Octo oznámil, že Octo2 bude dostupný pre existujúcich používateľov Octo1 za rovnakú cenu s možnosťami skorého prístupu. Výskumníci spoločnosti Infosec predpokladajú, že tí, ktorí predtým používali Octo1, prejdú na Octo2, čím sa zvýši jeho prítomnosť v prostredí globálnych hrozieb.
Jedným z kľúčových vylepšení v Octo2 je implementácia Domain Generation Algorithm (DGA) na generovanie názvov serverov Command-and-Control (C2) spolu s vylepšeniami celkovej stability a antianalytických techník.
Využitie systému C2 založeného na DGA poskytuje významnú výhodu, ktorá umožňuje aktérom hrozieb rýchlo prejsť na nové servery C2, čo znižuje účinnosť zoznamov blokovaných doménových mien a zvyšuje odolnosť voči potenciálnemu úsiliu o odstránenie.
Schopnosť tohto variantu vykonávať nezistené podvody na zariadení a zachytávať citlivé informácie v kombinácii s jednoduchým prispôsobením pre rôznych aktérov hrozieb zvyšuje riziko pre používateľov mobilného bankovníctva na celom svete.
