Octo2 Banking Trojan
Natukoy ng mga eksperto sa cybersecurity ang isang na-update na variant ng Android banking Trojan na kilala bilang Octo. Ang variant na ito ay pinahusay na ngayon gamit ang mga advanced na feature para mapadali ang device takeover (DTO) at paganahin ang mga mapanlinlang na transaksyon.
Tinawag na Octo2 ng mga tagalikha nito, ang bagong bersyong ito ay ipinamahagi sa mga nakakapanlinlang na kampanya sa mga bansang Europeo, kabilang ang Italy, Poland, Moldova at Hungary. Ang mga developer ay nagtrabaho upang mapabuti ang katatagan ng mga malalayong pagkilos na kinakailangan para sa matagumpay na pag-atake sa pagkuha ng device.
Talaan ng mga Nilalaman
Ang Pag-usbong ng Octo Mobile Malware
Ang Octo ay unang nakilala ng mga mananaliksik noong unang bahagi ng 2022 at iniuugnay sa isang banta na aktor na kilala ng mga online na alyas na Architect at goodluck. Nasuri ito bilang isang 'direktang inapo' ng Exobot malware, na unang natukoy noong 2016 at kalaunan ay nagbunga ng isa pang variant na tinatawag na Coper noong 2021.
Binuo mula sa source code ng banking Trojan Marche r , ang Exobot ay aktibong pinananatili hanggang 2018, na nagta-target sa mga institusyong pampinansyal sa pamamagitan ng iba't ibang mga kampanya lalo na sa Turkey, France, Germany, pati na rin sa Australia, Thailand at Japan. Kasunod nito, isang streamlined na bersyon na kilala bilang ExobotCompact ang inilabas ng threat actor na tinutukoy bilang 'android' sa dark Web forums.
Mga Application na Dala ang Octo2 Banking Trojan
Kasama sa ilang mapaminsalang application na nauugnay sa Octo2 ang Europe Enterprise (com.xsusb_restore3), Google Chrome (com.havirtual06numberresources), at NordVPN (com.handedfastee5).
Ang mga rugue na Android application na ito, na namamahagi ng malware, ay gumagamit ng isang kilalang serbisyo sa pag-binding ng APK na tinatawag na Zombinder. Ang serbisyong ito ay nagbibigay-daan sa pag-trojan ng mga lehitimong application, na nagpapahintulot sa kanila na i-download ang aktwal na malware (sa kasong ito, Octo2) sa ilalim ng pagkukunwari ng pag-install ng 'kinakailangang plugin.'
Sa kasalukuyan, walang katibayan na nagmumungkahi na ang Octo2 ay kumakalat sa pamamagitan ng Google Play Store, na nagpapahiwatig na ang mga gumagamit ay nagda-download ng mga application na ito mula sa hindi mapagkakatiwalaang mga mapagkukunan o nalinlang sa pag-install ng mga ito sa pamamagitan ng mga taktika ng social engineering.
Dahil ang orihinal na code ng Octo malware ay nag-leak na at madaling magagamit sa iba't ibang mga aktor ng pagbabanta, pinapahusay ng Octo2 ang base na ito gamit ang mas mahusay na mga kakayahan sa malayuang pag-access at mga advanced na diskarte sa obfuscation.
Ang Octo2 ay Nilagyan ng Pinalawak na Kakayahang Pagbabanta
Ang isa pang makabuluhang pag-unlad ay ang ebolusyon ni Octo sa isang modelo ng Malware-as-a-Service (MaaS), ayon sa Team Cymru. Ang pagbabagong ito ay nagbibigay-daan sa developer na kumita sa pamamagitan ng pagbibigay ng malware sa mga cybercriminal na naghahangad na magsagawa ng mga operasyon sa pagnanakaw ng impormasyon.
Sa pag-promote ng update, inanunsyo ng may-ari ng Octo na magiging available ang Octo2 sa mga umiiral nang user ng Octo1 sa parehong presyo na may mga opsyon sa maagang pag-access. Inaasahan ng mga mananaliksik ng Infosec na ang mga dating gumagamit ng Octo1 ay lilipat sa Octo2, sa gayon ay madaragdagan ang presensya nito sa pandaigdigang tanawin ng pagbabanta.
Isa sa mga pangunahing pagpapahusay sa Octo2 ay ang pagpapatupad ng isang Domain Generation Algorithm (DGA) upang buuin ang Command-and-Control (C2) na mga pangalan ng server, kasama ang mga pagpapabuti sa pangkalahatang katatagan at mga diskarte sa anti-analysis.
Ang paggamit ng isang DGA-based na C2 system ay nagbibigay ng malaking kalamangan, na nagbibigay-daan sa mga threat actor na mabilis na lumipat sa mga bagong C2 server, na nakakabawas sa bisa ng mga blocklist ng domain name at nagpapahusay ng resilience laban sa mga potensyal na pagsisikap sa pagtanggal.
Ang kakayahan ng variant na ito na magsagawa ng on-device na panloloko nang hindi natukoy at kumuha ng sensitibong impormasyon, kasama ng walang kahirap-hirap na pag-customize nito para sa iba't ibang banta, ay nagpapataas ng panganib para sa mga user ng mobile banking sa buong mundo.
