Trojan ngân hàng Octo2
Các chuyên gia an ninh mạng đã xác định được một biến thể cập nhật của Trojan ngân hàng Android được gọi là Octo. Biến thể này hiện được cải tiến với các tính năng nâng cao để tạo điều kiện cho việc chiếm đoạt thiết bị (DTO) và cho phép các giao dịch gian lận.
Được những người sáng tạo đặt tên là Octo2, phiên bản mới này đã được phân phối trong các chiến dịch gây hiểu lầm trên khắp các quốc gia châu Âu, bao gồm Ý, Ba Lan, Moldova và Hungary. Các nhà phát triển đã nỗ lực cải thiện tính ổn định của các hành động từ xa cần thiết cho các cuộc tấn công chiếm quyền thiết bị thành công.
Mục lục
Sự xuất hiện của phần mềm độc hại Octo Mobile
Octo ban đầu được các nhà nghiên cứu xác định vào đầu năm 2022 và được cho là của một tác nhân đe dọa được biết đến với các bí danh trực tuyến là Architect và goodluck. Nó đã được đánh giá là 'hậu duệ trực tiếp' của phần mềm độc hại Exobot , lần đầu tiên được phát hiện vào năm 2016 và sau đó tạo ra một biến thể khác có tên là Coper vào năm 2021.
Được phát triển từ mã nguồn của Trojan ngân hàng Marche r , Exobot được duy trì tích cực cho đến năm 2018, nhắm mục tiêu vào các tổ chức tài chính thông qua nhiều chiến dịch khác nhau chủ yếu ở Thổ Nhĩ Kỳ, Pháp, Đức, cũng như Úc, Thái Lan và Nhật Bản. Sau đó, một phiên bản hợp lý được gọi là ExobotCompact đã được phát hành bởi tác nhân đe dọa được gọi là 'android' trên các diễn đàn Dark Web.
Các ứng dụng mang Trojan ngân hàng Octo2
Một số ứng dụng có hại liên quan đến Octo2 bao gồm Europe Enterprise (com.xsusb_restore3), Google Chrome (com.havirtual06numberresources) và NordVPN (com.handedfastee5).
Những ứng dụng Android lừa đảo này phân phối phần mềm độc hại, sử dụng một dịch vụ liên kết APK được biết đến có tên là Zombinder. Dịch vụ này cho phép trojan hóa các ứng dụng hợp pháp, cho phép chúng tải xuống phần mềm độc hại thực sự (trong trường hợp này là Octo2) với lý do là cài đặt một 'plugin cần thiết'.
Hiện tại, không có bằng chứng nào cho thấy Octo2 đang được phát tán thông qua Cửa hàng Google Play, điều này ngụ ý rằng người dùng đang tải xuống các ứng dụng này từ các nguồn không đáng tin cậy hoặc bị lừa cài đặt chúng thông qua các chiến thuật kỹ thuật xã hội.
Với mã nguồn gốc của phần mềm độc hại Octo đã bị rò rỉ và dễ dàng bị nhiều tác nhân đe dọa khác nhau truy cập, Octo2 tăng cường cơ sở này bằng khả năng truy cập từ xa mạnh mẽ hơn và các kỹ thuật che giấu tiên tiến.
Octo2 được trang bị khả năng đe dọa mở rộng
Một sự phát triển quan trọng khác là sự phát triển của Octo thành mô hình Malware-as-a-Service (MaaS), theo Team Cymru. Sự thay đổi này cho phép nhà phát triển kiếm lợi nhuận bằng cách cung cấp phần mềm độc hại cho tội phạm mạng muốn thực hiện các hoạt động đánh cắp thông tin.
Trong quá trình quảng bá bản cập nhật, chủ sở hữu Octo đã thông báo rằng Octo2 sẽ có sẵn cho người dùng Octo1 hiện tại với cùng mức giá với các tùy chọn truy cập sớm. Các nhà nghiên cứu Infosec dự đoán rằng những người trước đây sử dụng Octo1 sẽ chuyển sang Octo2, do đó làm tăng sự hiện diện của nó trong bối cảnh đe dọa toàn cầu.
Một trong những cải tiến quan trọng trong Octo2 là việc triển khai Thuật toán tạo miền (DGA) để tạo tên máy chủ Command-and-Control (C2), cùng với những cải tiến về tính ổn định tổng thể và các kỹ thuật chống phân tích.
Việc sử dụng hệ thống C2 dựa trên DGA mang lại lợi thế đáng kể, cho phép kẻ tấn công nhanh chóng chuyển sang máy chủ C2 mới, làm giảm hiệu quả của danh sách chặn tên miền và tăng cường khả năng phục hồi trước các nỗ lực xóa bỏ tiềm ẩn.
Khả năng thực hiện gian lận trên thiết bị mà không bị phát hiện và thu thập thông tin nhạy cảm của biến thể này, kết hợp với khả năng tùy chỉnh dễ dàng cho nhiều tác nhân đe dọa khác nhau, làm tăng rủi ro cho người dùng ngân hàng di động trên toàn thế giới.
