Octo2 Banking Trojan

Ekspertët e sigurisë kibernetike kanë identifikuar një variant të përditësuar të Trojanit bankar Android të njohur si Octo. Ky variant tani është përmirësuar me veçori të avancuara për të lehtësuar marrjen e pajisjes (DTO) dhe për të mundësuar transaksione mashtruese.

I quajtur Octo2 nga krijuesit e tij, ky version i ri është shpërndarë në fushata mashtruese nëpër vendet evropiane, duke përfshirë Italinë, Poloninë, Moldavinë dhe Hungarinë. Zhvilluesit kanë punuar për të përmirësuar stabilitetin e veprimeve në distancë të kërkuara për sulme të suksesshme të marrjes së pajisjes.

Shfaqja e malware Octo Mobile

Octo u identifikua fillimisht nga studiuesit në fillim të vitit 2022 dhe i atribuohet një aktori kërcënimi të njohur nga pseudonimet në internet Architect dhe fat i mirë. Ai është vlerësuar si një "pasardhës i drejtpërdrejtë" i malware Exobot , i cili u zbulua për herë të parë në 2016 dhe më vonë shkaktoi një variant tjetër të quajtur Coper në 2021.

Zhvilluar nga kodi burimor i Trojan Marche r , Exobot u mbajt në mënyrë aktive deri në vitin 2018, duke synuar institucionet financiare përmes fushatave të ndryshme kryesisht në Turqi, Francë, Gjermani, si dhe Australi, Tajlandë dhe Japoni. Pas kësaj, një version i thjeshtë i njohur si ExobotCompact u lëshua nga aktori i kërcënimit i referuar si 'android' në forumet e errëta të Uebit.

Aplikacionet që mbartin trojanin bankar Octo2

Disa aplikacione të dëmshme të lidhura me Octo2 përfshijnë Europe Enterprise (com.xsusb_restore3), Google Chrome (com.havirtual06numberresources) dhe NordVPN (com.handedfastee5).

Këto aplikacione mashtruese Android, të cilat shpërndajnë malware, përdorin një shërbim të njohur të lidhjes APK të quajtur Zombinder. Ky shërbim mundëson trojanizimin e aplikacioneve legjitime, duke i lejuar ata të shkarkojnë malware-in aktual (në këtë rast, Octo2) nën pretendimin e instalimit të një 'plugin të nevojshëm'.

Aktualisht, nuk ka asnjë provë që sugjeron se Octo2 po përhapet përmes Google Play Store, gjë që nënkupton se përdoruesit ose po i shkarkojnë këto aplikacione nga burime jo të besueshme ose po mashtrohen për t'i instaluar ato përmes taktikave të inxhinierisë sociale.

Me kodin burimor origjinal të malware Octo të rrjedhur tashmë dhe të disponueshëm për aktorë të ndryshëm të kërcënimit, Octo2 e përmirëson këtë bazë me aftësi edhe më të fuqishme të aksesit në distancë dhe teknika të avancuara të errësimit.

Octo2 është i pajisur me aftësi të zgjeruara kërcënuese

Një tjetër zhvillim i rëndësishëm është evoluimi i Octo në një model Malware-as-a-Service (MaaS), sipas Team Cymru. Ky ndryshim i lejon zhvilluesit të përfitojë duke ofruar malware për kriminelët kibernetikë që kërkojnë të kryejnë operacione të vjedhjes së informacionit.

Në promovimin e përditësimit, pronari i Octo njoftoi se Octo2 do të jetë i disponueshëm për përdoruesit ekzistues të Octo1 me të njëjtin çmim me opsionet e hyrjes së hershme. Studiuesit e Infosec parashikojnë që ata që kanë përdorur më parë Octo1 do të kalojnë në Octo2, duke rritur kështu praninë e tij në peizazhin e kërcënimit global.

Një nga përmirësimet kryesore në Octo2 është zbatimi i një Algoritmi të Gjenerimit të Domenit (DGA) për të gjeneruar emrat e serverëve Command-and-Control (C2), së bashku me përmirësimet në stabilitetin e përgjithshëm dhe teknikat kundër analizës.

Përdorimi i një sistemi C2 të bazuar në DGA ofron një avantazh të rëndësishëm, duke i lejuar aktorët e kërcënimit të kalojnë me shpejtësi në serverët e rinj C2, gjë që zvogëlon efektivitetin e listave të bllokimit të emrave të domenit dhe rrit elasticitetin ndaj përpjekjeve të mundshme të heqjes.

Aftësia e këtij varianti për të ekzekutuar mashtrime në pajisje të pazbuluara dhe për të kapur informacione të ndjeshme, e kombinuar me personalizimin e tij të lehtë për aktorë të ndryshëm kërcënimi, rrit rrezikun për përdoruesit e bankingut celular në mbarë botën.