Octo Banking Trojan
网络安全研究人员能够捕捉到另一个强大的 Android 银行木马的踪迹。该威胁已被跟踪为 Octo,根据恶意软件研究人员进行的分析,它是否属于被称为Exobot的移动恶意软件家族的一部分。更具体地说,Octo 似乎是 ExobotCompact 威胁的修订版。这种更名可能是由网络犯罪分子完成的,试图将新变种呈现为全新的威胁性创作,并使它们与 Exobot 的源代码被泄露的事实保持距离。
诱饵应用
Octo 威胁是通过充当释放器的损坏应用程序分发的。一些应用程序曾一度在 Google Play 商店上架,下载量超过 5 万次。 Octo 的运营商还使用欺骗性网站和登录页面,以浏览器更新为幌子,将应用程序投放到受害者的设备上。流氓应用程序冒充应用程序安装程序、屏幕录像机和金融应用程序。一些已确定的提供 Octo 威胁的应用程序包括 Pocket Screencaster (com.moh.screen)、Fast Cleaner 2021 (vizeeva.fast.cleaner)、Postbank Security (com.carbuildz)、BAWAG PSK Security (com.frontwonder2)、Play Store应用安装(com.theseeye5)等
威胁能力
将要求用户向欺诈程序授予辅助功能服务权限。 Octo 利用的另一项合法服务是 Android 的 MediaProjection API。它使威胁能够实时捕获设备屏幕的内容。在实践中,这意味着 Octo 可以自动执行设备上欺诈 (ODF),而无需操作员手动输入。该威胁可以对多个金融和银行应用程序执行覆盖攻击,以获取用户的登录凭据。 Octo 还可以建立键盘记录程序、收集联系信息、远程控制设备等等。该威胁还配备了逃避技术,使检测更加困难和持久性机制,以确保其长期存在于受感染的设备上。
