Octo2 银行木马

翻译为：

网络安全专家发现了 Android 银行木马的更新版本 Octo。此版本现已增强了高级功能，以便于设备接管 (DTO) 并实现欺诈交易。

这个新版本被其创建者称为 Octo2，已在意大利、波兰、摩尔多瓦和匈牙利等欧洲国家通过误导性活动传播。开发人员致力于提高成功进行设备接管攻击所需的远程操作的稳定性。

Octo 最初于 2022 年初被研究人员发现，并归因于一个以网络别名 Architect 和 goodluck 闻名的威胁行为者。它被评估为Exobot恶意软件的“直系后代”，该恶意软件于 2016 年首次被发现，后来在 2021 年产生了另一个名为Coper 的变体。

Exobot 是基于银行木马Marcher 的源代码开发的，一直活跃到 2018 年，主要针对土耳其、法国、德国以及澳大利亚、泰国和日本的金融机构发起了各种攻击活动。此后，名为“android”的威胁行为者在暗网论坛上发布了一个名为 ExobotCompact 的精简版本。

与 Octo2 相关的几个有害应用程序包括 Europe Enterprise（com.xsusb_restore3）、Google Chrome（com.havirtual06numberresources）和 NordVPN（com.handedfastee5）。

这些传播恶意软件的恶意 Android 应用程序利用一种名为 Zombinder 的已知 APK 绑定服务。该服务可以对合法应用程序进行木马化，允许它们以安装“必要插件”为借口下载实际的恶意软件（在本例中为 Octo2）。

目前，没有证据表明 Octo2 正在通过 Google Play Store 传播，这意味着用户要么从不可靠的来源下载这些应用程序，要么被通过社会工程手段欺骗安装它们。

由于原始 Octo 恶意软件的源代码已被泄露并可被各种威胁行为者轻松获取，Octo2 通过更强大的远程访问功能和先进的混淆技术增强了这一基础。

Team Cymru 表示，Octo 的另一个重大进展是向恶意软件即服务 (MaaS) 模式发展。这一转变使开发人员能够通过向试图进行信息窃取行动的网络犯罪分子提供恶意软件来获利。

在推广更新时，Octo 的所有者宣布 Octo2 将以相同的价格向 Octo1 的现有用户提供早期访问选项。Infosec 研究人员预计，之前使用 Octo1 的用户将过渡到 Octo2，从而增加其在全球威胁格局中的存在感。

Octo2 的一项重要增强功能是实现域生成算法 (DGA) 来生成命令和控制 (C2) 服务器名称，同时提高整体稳定性和反分析技术。

利用基于 DGA 的 C2 系统具有显著的优势，允许威胁行为者迅速切换到新的 C2 服务器，从而降低域名黑名单的有效性并增强对潜在攻击的抵御能力。

该变体能够在不被发现的情况下执行设备欺诈并捕获敏感信息，再加上其针对各种威胁行为者的轻松定制，增加了全球移动银行用户的风险。

搜索