โทรจัน Octo2 Banking

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ระบุเวอร์ชันอัปเดตของโทรจันระบบธนาคารบนระบบปฏิบัติการ Android ที่รู้จักกันในชื่อ Octo เวอร์ชันนี้ได้รับการปรับปรุงด้วยฟีเจอร์ขั้นสูงเพื่ออำนวยความสะดวกในการเข้ายึดอุปกรณ์ (DTO) และเปิดใช้งานธุรกรรมฉ้อโกง

ผู้สร้างได้ตั้งชื่อเวอร์ชันใหม่นี้ว่า Octo2 และเผยแพร่ในแคมเปญที่หลอกลวงในประเทศต่างๆ ในยุโรป รวมถึงอิตาลี โปแลนด์ มอลโดวา และฮังการี นักพัฒนาได้พยายามปรับปรุงเสถียรภาพของการดำเนินการระยะไกลที่จำเป็นสำหรับการโจมตีเพื่อยึดอุปกรณ์ให้ประสบความสำเร็จ

การเกิดขึ้นของมัลแวร์ Octo Mobile

Octo ถูกระบุโดยนักวิจัยในช่วงต้นปี 2022 และถูกระบุว่าเป็นภัยคุกคามที่รู้จักกันในชื่อออนไลน์ว่า Architect และ Goodluck Octo ได้รับการประเมินว่าเป็น "ลูกหลานโดยตรง" ของมัลแวร์ Exobot ซึ่งตรวจพบครั้งแรกในปี 2016 และต่อมาได้ก่อให้เกิดสายพันธุ์ใหม่ที่เรียกว่า Coper ในปี 2021

Exobot ได้รับการพัฒนาจากซอร์สโค้ดของโทรจัน Marche r ซึ่งเป็นโทรจันในระบบธนาคาร โดยได้รับการดูแลอย่างต่อเนื่องจนถึงปี 2018 โดยกำหนดเป้าหมายไปที่สถาบันการเงินผ่านแคมเปญต่างๆ เป็นหลักในตุรกี ฝรั่งเศส เยอรมนี รวมถึงออสเตรเลีย ไทย และญี่ปุ่น หลังจากนั้น เวอร์ชันที่ปรับปรุงใหม่ที่เรียกว่า ExobotCompact ก็ได้รับการเผยแพร่โดยผู้ก่อภัยคุกคามที่เรียกว่า 'android' บนฟอรัมเว็บมืด

แอพพลิเคชันที่มีโทรจัน Octo2 Banking

แอปพลิเคชันที่เป็นอันตรายหลายตัวที่เกี่ยวข้องกับ Octo2 ได้แก่ Europe Enterprise (com.xsusb_restore3), Google Chrome (com.havirtual06numberresources) และ NordVPN (com.handedfastee5)

แอปพลิเคชัน Android ที่เป็นอันตรายเหล่านี้ซึ่งแจกจ่ายมัลแวร์จะใช้บริการผูก APK ที่รู้จักกันว่า Zombinder บริการนี้จะทำให้แอปพลิเคชันที่ถูกกฎหมายสามารถติดโทรจันได้ ทำให้สามารถดาวน์โหลดมัลแวร์จริง (ในกรณีนี้คือ Octo2) โดยอ้างว่าจะติดตั้ง "ปลั๊กอินที่จำเป็น"

ในปัจจุบันไม่มีหลักฐานใดที่ชี้ให้เห็นว่า Octo2 กำลังแพร่กระจายผ่าน Google Play Store ซึ่งหมายความว่าผู้ใช้กำลังดาวน์โหลดแอปพลิเคชันเหล่านี้จากแหล่งที่ไม่น่าเชื่อถือ หรือถูกหลอกให้ติดตั้งผ่านกลวิธีทางวิศวกรรมสังคม

เมื่อโค้ดต้นฉบับของมัลแวร์ Octo เดิมรั่วไหลและพร้อมให้ผู้ก่อภัยคุกคามต่างๆ เข้าถึงได้อย่างง่ายดาย Octo2 จึงปรับปรุงฐานนี้ด้วยความสามารถในการเข้าถึงระยะไกลที่แข็งแกร่งยิ่งขึ้นและเทคนิคการบดบังขั้นสูง

Octo2 มาพร้อมกับความสามารถในการคุกคามที่เพิ่มขึ้น

การพัฒนาที่สำคัญอีกประการหนึ่งคือการพัฒนา Octo ไปสู่รูปแบบ Malware-as-a-Service (MaaS) ตามที่ Team Cymru กล่าวไว้ การเปลี่ยนแปลงนี้ทำให้ผู้พัฒนาสามารถแสวงหากำไรได้โดยการส่งมัลแวร์ให้กับอาชญากรไซเบอร์ที่ต้องการดำเนินการขโมยข้อมูล

ในการโปรโมตการอัปเดต เจ้าของ Octo ประกาศว่า Octo2 จะพร้อมให้ผู้ใช้ Octo1 ที่มีอยู่เดิมใช้งานได้ในราคาเดียวกันพร้อมตัวเลือกการเข้าถึงล่วงหน้า นักวิจัยของ Infosec คาดการณ์ว่าผู้ที่ใช้ Octo1 ก่อนหน้านี้จะเปลี่ยนมาใช้ Octo2 ซึ่งจะทำให้ Octo2 มีบทบาทมากขึ้นในภูมิทัศน์ภัยคุกคามทั่วโลก

การปรับปรุงที่สำคัญอย่างหนึ่งใน Octo2 คือการนำ Domain Generation Algorithm (DGA) มาใช้เพื่อสร้างชื่อเซิร์ฟเวอร์ Command-and-Control (C2) พร้อมกับการปรับปรุงในด้านเสถียรภาพโดยรวมและเทคนิคต่อต้านการวิเคราะห์

การใช้ระบบ C2 ที่ใช้ DGA นั้นมีข้อได้เปรียบอย่างมาก โดยช่วยให้ผู้ก่อภัยคุกคามสามารถเปลี่ยนไปใช้เซิร์ฟเวอร์ C2 ใหม่ได้อย่างรวดเร็ว ซึ่งจะลดประสิทธิภาพของรายการบล็อคชื่อโดเมนและเพิ่มความยืดหยุ่นในการต่อต้านความพยายามในการลบโดเมนที่อาจเกิดขึ้น

ความสามารถของเวอร์ชันนี้ในการดำเนินการฉ้อโกงบนอุปกรณ์โดยไม่ถูกตรวจจับและรวบรวมข้อมูลที่ละเอียดอ่อน รวมถึงการปรับแต่งที่ง่ายดายสำหรับผู้ก่อภัยคุกคามต่างๆ ทำให้เพิ่มความเสี่ยงให้กับผู้ใช้บริการธนาคารผ่านมือถือทั่วโลก