Оцто2 банкарски тројанац
Стручњаци за сајбер безбедност идентификовали су ажурирану варијанту Андроид банковног тројанца познатог као Оцто. Ова варијанта је сада побољшана напредним функцијама за олакшавање преузимања уређаја (ДТО) и омогућавање лажних трансакција.
Названа Оцто2 од стране њених креатора, ова нова верзија је дистрибуирана у обмањујућим кампањама широм европских земаља, укључујући Италију, Пољску, Молдавију и Мађарску. Програмери су радили на побољшању стабилности даљинских акција потребних за успешне нападе преузимања уређаја.
Преглед садржаја
Појава Оцто Мобиле малвера
Истраживачи су првобитно идентификовали Октоа почетком 2022. године и приписују га претњи познатом по онлајн псеудонимима Арцхитецт и Гоодлуцк. Оцењен је као „директни потомак“ злонамерног софтвера Екобот , који је први пут откривен 2016, а касније је довео до друге варијанте под називом Цопер 2021.
Развијен из изворног кода банкарског тројанца Марцхе р , Екобот се активно одржавао до 2018. године, циљајући финансијске институције кроз различите кампање првенствено у Турској, Француској, Немачкој, као и Аустралији, Тајланду и Јапану. Након тога, аеродинамична верзија позната као ЕкоботЦомпацт је објављена од стране актера претњи који се на мрачним веб форумима назива 'андроид'.
Апликације које носе банковни тројанац Оцто2
Неколико штетних апликација повезаних са Оцто2 укључује Еуропе Ентерприсе (цом.ксусб_ресторе3), Гоогле Цхроме (цом.хавиртуал06нумберресоурцес) и НордВПН (цом.хандедфастее5).
Ове лажне Андроид апликације, које дистрибуирају злонамерни софтвер, користе познату услугу повезивања АПК-а под називом Зомбиндер. Ова услуга омогућава тројанизацију легитимних апликација, омогућавајући им да преузму стварни малвер (у овом случају Оцто2) под изговором да инсталирају „неопходну додатну компоненту“.
Тренутно нема доказа који указују на то да се Оцто2 шири преко Гоогле Плаи продавнице, што имплицира да корисници или преузимају ове апликације из непоузданих извора или су преварени да их инсталирају путем тактике друштвеног инжењеринга.
Са изворним кодом оригиналног Оцто малвера који је већ процурио и лако доступан разним актерима претњи, Оцто2 побољшава ову базу са још робуснијим могућностима даљинског приступа и напредним техникама замагљивања.
Оцто2 је опремљен проширеним претећим могућностима
Још један значајан напредак је Оцто-ова еволуција у модел Малваре-ас-а-Сервице (МааС), према Теам Цимру. Ова промена омогућава програмеру да профитира пружањем злонамерног софтвера сајбер криминалцима који желе да спроводе операције крађе информација.
У промоцији ажурирања, власник Оцто-а је најавио да ће Оцто2 бити доступан постојећим корисницима Оцто1 по истој цени са опцијама раног приступа. Истраживачи Инфосец-а предвиђају да ће они који су раније користили Оцто1 прећи на Оцто2, чиме ће повећати своје присуство у глобалном окружењу претњи.
Једно од кључних побољшања у Оцто2 је имплементација алгоритма за генерисање домена (ДГА) за генерисање имена сервера за команду и контролу (Ц2), заједно са побољшањима у општој стабилности и техникама анти-анализе.
Коришћење Ц2 система заснованог на ДГА пружа значајну предност, омогућавајући актерима претњи да брзо пређу на нове Ц2 сервере, што умањује ефикасност листа блокираних имена домена и повећава отпорност на потенцијалне покушаје уклањања.
Способност ове варијанте да неоткривено изврши превару на уређају и ухвати осетљиве информације, у комбинацији са једноставним прилагођавањем за различите актере претњи, повећава ризик за кориснике мобилног банкарства широм света.
