Банківський троян Octo2
Експерти з кібербезпеки ідентифікували оновлений варіант банківського трояна Android, відомий як Octo. Цей варіант тепер розширено за допомогою розширених функцій, які спрощують захоплення пристроїв (DTO) і дозволяють шахрайські транзакції.
Ця нова версія, яку її творці назвали Octo2, поширювалася в рамках оманливих кампаній у європейських країнах, зокрема в Італії, Польщі, Молдові та Угорщині. Розробники працювали над підвищенням стабільності віддалених дій, необхідних для успішних атак захоплення пристрою.
Зміст
Поява шкідливого програмного забезпечення Octo Mobile
Octo був спочатку ідентифікований дослідниками на початку 2022 року, і його приписують загрозливому актору, відомому під онлайн-псевдонімами Architect і goodluck. Його оцінили як «прямого нащадка» зловмисного програмного забезпечення Exobot , яке вперше було виявлено в 2016 році, а пізніше породило інший варіант під назвою Coper у 2021 році.
Розроблений на основі вихідного коду банківського трояна Marche r , Exobot активно підтримувався до 2018 року, орієнтуючись на фінансові установи через різні кампанії в основному в Туреччині, Франції, Німеччині, а також в Австралії, Таїланді та Японії. Після цього зловмисник, який на темних веб-форумах називався «android», випустив спрощену версію, відому як ExobotCompact.
Програми, що містять банківський троян Octo2
Деякі шкідливі програми, пов’язані з Octo2, включають Europe Enterprise (com.xsusb_restore3), Google Chrome (com.havirtual06numberresources) і NordVPN (com.handedfastee5).
Ці шахрайські додатки для Android, які поширюють зловмисне програмне забезпечення, використовують відому службу зв’язування APK під назвою Zombinder. Ця служба дозволяє троянізувати законні програми, дозволяючи їм завантажувати фактичне шкідливе програмне забезпечення (у цьому випадку Octo2) під приводом встановлення «необхідного плагіна».
Наразі немає жодних доказів того, що Octo2 поширюється через Google Play Store, що означає, що користувачі або завантажують ці програми з ненадійних джерел, або обманом змушують їх встановити за допомогою тактики соціальної інженерії.
Оскільки початковий вихідний код зловмисного програмного забезпечення Octo вже просочився та доступний для різних учасників загрози, Octo2 розширює цю базу за допомогою ще більш надійних можливостей віддаленого доступу та вдосконалених методів обфускації.
Octo2 оснащено розширеними загрозливими можливостями
За словами Team Cymru, ще однією важливою подією є еволюція Octo до моделі шкідливого програмного забезпечення як послуги (MaaS). Цей зсув дозволяє розробнику отримувати прибуток, надаючи зловмисне програмне забезпечення кіберзлочинцям, які прагнуть провести операції з крадіжки інформації.
Рекламуючи оновлення, власник Octo оголосив, що Octo2 буде доступний для існуючих користувачів Octo1 за тією ж ціною з параметрами раннього доступу. Дослідники Infosec очікують, що ті, хто раніше використовував Octo1, перейдуть на Octo2, таким чином збільшуючи свою присутність у глобальному ландшафті загроз.
Одним із ключових удосконалень у Octo2 є реалізація алгоритму генерації домену (DGA) для генерації імен серверів командування та керування (C2), а також покращення загальної стабільності та методів антианалізу.
Використання системи C2 на основі DGA надає значну перевагу, дозволяючи суб’єктам загрози швидко перемикатися на нові сервери C2, що знижує ефективність списків блокування доменних імен і підвищує стійкість до потенційних спроб видалення.
Здатність цього варіанту здійснювати непомічене шахрайство на пристрої та отримувати конфіденційну інформацію в поєднанні з його легкою настройкою для різних учасників загрози підвищує ризик для користувачів мобільного банкінгу в усьому світі.
