Bančni trojanec Octo2
Strokovnjaki za kibernetsko varnost so identificirali posodobljeno različico bančnega trojanca Android, znanega kot Octo. Ta različica je zdaj izboljšana z naprednimi funkcijami za olajšanje prevzema naprave (DTO) in omogočanje goljufivih transakcij.
Ta nova različica, ki so jo njeni ustvarjalci poimenovali Octo2, se je v zavajajočih kampanjah distribuirala po evropskih državah, vključno z Italijo, Poljsko, Moldavijo in Madžarsko. Razvijalci so si prizadevali izboljšati stabilnost oddaljenih dejanj, potrebnih za uspešne napade na prevzem naprave.
Kazalo
Pojav zlonamerne programske opreme Octo Mobile
Octo so raziskovalci najprej identificirali v začetku leta 2022 in ga pripisujejo akterju grožnje, znanemu pod spletnima vzdevkoma Architect in goodluck. Ocenjeno je, da je "neposredni potomec" zlonamerne programske opreme Exobot , ki je bila prvič odkrita leta 2016 in kasneje leta 2021 povzročila drugo različico, imenovano Coper .
Exobot, razvit iz izvorne kode bančnega trojanca Marche r , se je aktivno vzdrževal do leta 2018 in je z različnimi kampanjami ciljal na finančne institucije predvsem v Turčiji, Franciji, Nemčiji, pa tudi v Avstraliji, na Tajskem in Japonskem. Temu je sledila poenostavljena različica, znana kot ExobotCompact, ki jo je akter grožnje na temnih spletnih forumih imenoval "android".
Aplikacije, ki prenašajo bančnega trojanca Octo2
Več škodljivih aplikacij, povezanih z Octo2, vključuje Europe Enterprise (com.xsusb_restore3), Google Chrome (com.havirtual06numberresources) in NordVPN (com.handedfastee5).
Te lažne aplikacije za Android, ki distribuirajo zlonamerno programsko opremo, uporabljajo znano storitev za vezavo APK-jev, imenovano Zombinder. Ta storitev omogoča trojanizacijo zakonitih aplikacij, kar jim omogoča prenos dejanske zlonamerne programske opreme (v tem primeru Octo2) pod pretvezo namestitve "potrebnega vtičnika".
Trenutno ni dokazov, ki bi nakazovali, da se Octo2 širi prek trgovine Google Play, kar pomeni, da uporabniki prenašajo te aplikacije iz nezanesljivih virov ali pa so zavedeni, da jih namestijo s taktikami socialnega inženiringa.
Ker je izvorna koda zlonamerne programske opreme Octo že ušla in je takoj na voljo različnim akterjem groženj, Octo2 izboljša to bazo s še bolj robustnimi zmožnostmi oddaljenega dostopa in naprednimi tehnikami zakrivanja.
Octo2 je opremljen z razširjenimi zmožnostmi groženj
Drug pomemben razvoj je razvoj Octa v model Malware-as-a-Service (MaaS), glede na Team Cymru. Ta premik omogoča razvijalcu dobiček z zagotavljanjem zlonamerne programske opreme kibernetskim kriminalcem, ki želijo izvajati operacije kraje informacij.
Pri promociji posodobitve je lastnik Octo napovedal, da bo Octo2 na voljo obstoječim uporabnikom Octo1 po enaki ceni z možnostmi zgodnjega dostopa. Raziskovalci Infosec predvidevajo, da bodo tisti, ki so prej uporabljali Octo1, prešli na Octo2, s čimer bodo povečali svojo prisotnost v krajini globalnih groženj.
Ena od ključnih izboljšav v Octo2 je implementacija algoritma za generiranje domen (DGA) za generiranje imen strežnikov za ukazovanje in nadzor (C2), skupaj z izboljšavami v splošni stabilnosti in tehnikah protianalize.
Uporaba sistema C2, ki temelji na DGA, zagotavlja pomembno prednost, saj akterjem groženj omogoča hiter prehod na nove strežnike C2, kar zmanjšuje učinkovitost seznamov blokiranih imen domen in povečuje odpornost proti morebitnim poskusom odstranitve.
Zmožnost te različice, da neodkrito izvede goljufijo v napravi in zajame občutljive podatke, skupaj z enostavno prilagoditvijo za različne akterje groženj, povečuje tveganje za uporabnike mobilnega bančništva po vsem svetu.
