Octo Banking Trojan
Cybersäkerhetsforskare kunde fånga spåren av en annan potent Android-banktrojan. Hotet har spårats som Octo, och enligt analysen utförd av malware-forskare är det en del av en mobil skadlig programvara som kallas Exobot. Mer specifikt verkar Octo vara en reviderad version av ExobotCompact-hotet. Denna ommärkning kan ha gjorts av cyberkriminella, som ett försök att presentera de nya varianterna som helt nya hotfulla skapelser och distansera dem från det faktum att Exobots källkod läckte.
Decoy-applikationer
Octo-hotet distribuerades via korrupta applikationer som fungerar som droppare. Några av applikationerna var tillgängliga under en tid på Google Play Store, där de lyckades samla över 50 tusen nedladdningar. Octos operatörer använde också vilseledande webbplatser och landningssidor som släppte applikationerna till offrets enheter, under sken av webbläsaruppdateringar. De oseriösa applikationerna utgav sig som applikationsinstallatörer, skärminspelningar och finansiella applikationer. Några av de identifierade applikationerna som levererade Octo-hotet inkluderade Pocket Screencaster (com.moh.screen), Fast Cleaner 2021 (vizeeva.fast.cleaner), Postbank Security (com.carbuildz), BAWAG PSK Security (com.frontwonder2), Play Store appinstallation (com.theseeye5), etc.
Hotande förmågor
Användare skulle uppmanas att ge tillgänglighetstjänster behörigheter till de bedrägliga programmen. En annan legitim tjänst som utnyttjas av Octo är Androids MediaProjection API. Det gör det möjligt för hotet att fånga innehållet på enhetens skärm i realtid. I praktiken innebär detta att Octo kan utföra on-device fraud (ODF) automatiskt utan manuell input från sina operatörer. Hotet kan utföra överlagringsattacker mot flera finans- och bankapplikationer för att få användarens inloggningsuppgifter. Octo kan också upprätta nyckelloggningsrutiner, samla in kontaktinformation, få fjärrkontroll över enheten och mer. Hotet är också utrustat med undanflyktstekniker för att försvåra upptäckt och uthållighetsmekanismer för att säkerställa dess långvariga närvaro på de komprometterade enheterna.
