Octo2 Banking Trojan
Cybersäkerhetsexperter har identifierat en uppdaterad variant av Android-banktrojanen känd som Octo. Denna variant är nu förbättrad med avancerade funktioner för att underlätta övertagande av enheter (DTO) och möjliggöra bedrägliga transaktioner.
Den här nya versionen, kallad Octo2 av dess skapare, har distribuerats i vilseledande kampanjer över europeiska länder, inklusive Italien, Polen, Moldavien och Ungern. Utvecklarna har arbetat för att förbättra stabiliteten för de fjärråtgärder som krävs för framgångsrika attacker för övertagande av enheter.
Innehållsförteckning
Uppkomsten av Octo Mobile Malware
Octo identifierades ursprungligen av forskare i början av 2022 och tillskrivs en hotaktör känd av onlinealiaset Architect and goodluck. Det har utvärderats som en "direkt avkomling" av Exobot malware, som först upptäcktes 2016 och senare gav upphov till en annan variant kallad Coper 2021.
Exobot utvecklades från källkoden för banktrojanen Marche r och upprätthölls aktivt fram till 2018 och riktade sig till finansiella institutioner genom olika kampanjer främst i Turkiet, Frankrike, Tyskland, samt Australien, Thailand och Japan. Efter detta släpptes en strömlinjeformad version känd som ExobotCompact av hotaktören som kallas "android" på mörka webbforum.
Applikationer som bär Octo2 Banking Trojan
Flera skadliga applikationer associerade med Octo2 inkluderar Europe Enterprise (com.xsusb_restore3), Google Chrome (com.havirtual06numberresources) och NordVPN (com.handedfastee5).
Dessa oseriösa Android-applikationer, som distribuerar skadlig programvara, använder en känd APK-bindningstjänst som heter Zombinder. Den här tjänsten möjliggör trojanisering av legitima applikationer, vilket gör att de kan ladda ner den faktiska skadliga programvaran (i det här fallet Octo2) under sken av att installera ett "nödvändigt plugin".
För närvarande finns det inga bevis som tyder på att Octo2 sprids via Google Play Butik, vilket innebär att användare antingen laddar ner dessa applikationer från opålitliga källor eller luras att installera dem genom social ingenjörsteknik.
Med den ursprungliga Octo malwares källkod redan läckt och lätt tillgänglig för olika hotaktörer, förbättrar Octo2 denna bas med ännu mer robusta fjärråtkomstfunktioner och avancerade fördunklingstekniker.
Octo2 är utrustad med utökade hotfulla funktioner
En annan betydande utveckling är Octos utveckling till en Malware-as-a-Service-modell (MaaS), enligt Team Cymru. Denna förändring gör det möjligt för utvecklaren att tjäna pengar på att tillhandahålla skadlig programvara till cyberbrottslingar som vill utföra informationsstöldoperationer.
I marknadsföringen av uppdateringen meddelade ägaren av Octo att Octo2 skulle vara tillgänglig för befintliga användare av Octo1 till samma pris med alternativ för tidig åtkomst. Infosec-forskare räknar med att de som tidigare använt Octo1 kommer att gå över till Octo2 och därigenom öka dess närvaro i det globala hotlandskapet.
En av de viktigaste förbättringarna i Octo2 är implementeringen av en Domain Generation Algorithm (DGA) för att generera Command-and-Control (C2) servernamn, tillsammans med förbättringar av övergripande stabilitet och antianalystekniker.
Att använda ett DGA-baserat C2-system ger en betydande fördel, vilket gör att hotaktörer snabbt kan byta till nya C2-servrar, vilket minskar effektiviteten hos domännamnsblockeringslistor och förbättrar motståndskraften mot potentiella nedtagningsinsatser.
Denna variants förmåga att utföra oupptäckt bedrägeri på enheten och fånga känslig information, kombinerat med dess enkel anpassning för olika hotaktörer, ökar risken för mobilbankanvändare över hela världen.
