Octo2 Bankacılık Truva Atı
Siber güvenlik uzmanları, Octo olarak bilinen Android bankacılık Truva Atı'nın güncellenmiş bir versiyonunu tespit etti. Bu versiyon artık cihaz ele geçirmeyi (DTO) kolaylaştırmak ve hileli işlemleri etkinleştirmek için gelişmiş özelliklerle geliştirildi.
Yaratıcıları tarafından Octo2 olarak adlandırılan bu yeni sürüm, İtalya, Polonya, Moldova ve Macaristan dahil olmak üzere Avrupa ülkelerinde yanıltıcı kampanyalarla dağıtıldı. Geliştiriciler, başarılı cihaz ele geçirme saldırıları için gereken uzaktan eylemlerin istikrarını iyileştirmek için çalıştılar.
İçindekiler
Octo Mobile Kötü Amaçlı Yazılımının Ortaya Çıkışı
Octo, araştırmacılar tarafından ilk olarak 2022'nin başlarında tanımlandı ve Architect ve goodluck adlı çevrimiçi takma adlarla bilinen bir tehdit aktörüne atfedildi. İlk olarak 2016'da tespit edilen ve daha sonra 2021'de Coper adlı başka bir türe yol açan Exobot kötü amaçlı yazılımının 'doğrudan bir türevi' olarak değerlendirildi.
Bankacılık Trojan'ı Marcher'in kaynak kodundan geliştirilen Exobot , 2018'e kadar aktif olarak sürdürüldü ve başta Türkiye, Fransa, Almanya olmak üzere Avustralya, Tayland ve Japonya'da çeşitli kampanyalar aracılığıyla finansal kuruluşları hedef aldı. Bunu takiben, karanlık web forumlarında 'android' olarak adlandırılan tehdit aktörü tarafından ExobotCompact olarak bilinen akıcı bir sürüm yayınlandı.
Octo2 Bankacılık Truva Atı'nı Taşıyan Uygulamalar
Octo2 ile ilişkilendirilen zararlı uygulamalardan bazıları şunlardır: Europe Enterprise (com.xsusb_restore3), Google Chrome (com.havirtual06numberresources) ve NordVPN (com.handedfastee5).
Kötü amaçlı yazılımı dağıtan bu sahte Android uygulamaları, Zombinder adlı bilinen bir APK bağlama hizmetini kullanır. Bu hizmet, meşru uygulamaların truva atı haline getirilmesini sağlayarak, 'gerekli bir eklenti' yükleme bahanesiyle gerçek kötü amaçlı yazılımı (bu durumda Octo2) indirmelerine olanak tanır.
Şu anda Octo2'nin Google Play Store üzerinden yayıldığına dair bir kanıt bulunmuyor. Bu da kullanıcıların bu uygulamaları güvenilir olmayan kaynaklardan indirdiği veya sosyal mühendislik taktikleriyle kandırılarak yüklediği anlamına geliyor.
Orijinal Octo kötü amaçlı yazılımının kaynak kodu halihazırda sızdırılmış ve çeşitli tehdit aktörlerinin kullanımına sunulmuşken, Octo2 bu tabanı daha da güçlü uzaktan erişim yetenekleri ve gelişmiş karartma teknikleriyle güçlendiriyor.
Octo2, Genişletilmiş Tehdit Yetenekleriyle Donatılmıştır
Team Cymru'ya göre bir diğer önemli gelişme de Octo'nun Malware-as-a-Service (MaaS) modeline evrilmesidir. Bu değişim, geliştiricinin bilgi hırsızlığı operasyonları yürütmeyi amaçlayan siber suçlulara kötü amaçlı yazılım sağlayarak kar elde etmesini sağlar.
Güncellemeyi tanıtırken, Octo'nun sahibi Octo2'nin mevcut Octo1 kullanıcılarına erken erişim seçenekleriyle aynı fiyattan sunulacağını duyurdu. Bilgi güvenliği araştırmacıları, daha önce Octo1 kullananların Octo2'ye geçeceğini ve böylece küresel tehdit ortamındaki varlığının artacağını öngörüyor.
Octo2'deki en önemli geliştirmelerden biri, Komuta ve Kontrol (C2) sunucu adlarını oluşturmak için Alan Oluşturma Algoritması'nın (DGA) uygulanması ve genel kararlılık ve analiz önleme tekniklerindeki iyileştirmelerdir.
DGA tabanlı bir C2 sisteminin kullanılması, tehdit aktörlerinin yeni C2 sunucularına hızla geçiş yapmalarına olanak tanıyarak önemli bir avantaj sağlıyor; bu da alan adı engelleme listelerinin etkinliğini azaltıyor ve olası kaldırma çabalarına karşı dayanıklılığı artırıyor.
Bu varyantın cihaz üzerinde dolandırıcılığı tespit edilmeden gerçekleştirebilme ve hassas bilgileri ele geçirebilme yeteneği, çeşitli tehdit aktörleri için zahmetsizce özelleştirilebilmesiyle birleştiğinde, dünya çapındaki mobil bankacılık kullanıcıları için riski artırıyor.
