Octo2 銀行木馬

翻譯為：

網路安全專家發現了 Android 銀行木馬的更新變種，稱為 Octo。此變體現已增強了高級功能，以促進裝置接管 (DTO) 並實現詐欺交易。

這個新版本被其創建者稱為“Octo2”，已在義大利、波蘭、摩爾多瓦和匈牙利等歐洲國家的誤導性活動中傳播。開發人員致力於提高成功設備接管攻擊所需的遠端操作的穩定性。

Octo 最初由研究人員於 2022 年初識別，歸因於線上別名 Architect 和 Goodluck 的威脅行為者。它被評估為Exobot惡意軟體的“直系後代”，Exobot 惡意軟體於 2016 年首次檢測到，後來於 2021 年產生了另一種名為Coper 的變體。

Exobot 由銀行木馬Marcher 的源代碼開發而成，一直被積極維護到 2018 年，主要透過土耳其、法國、德國以及澳洲、泰國和日本的各種活動針對金融機構。隨後，名為「android」的威脅參與者在暗網論壇上發布了一個名為 ExobotCompact 的簡化版本。

與 Octo2 相關的多個有害應用程式包括 Europe Enterprise (com.xsusb_restore3)、Google Chrome (com.havirtual06numberresources) 和 NordVPN (com.handedfastee5)。

這些傳播惡意軟體的流氓 Android 應用程式利用名為 Zombinder 的已知 APK 綁定服務。該服務可以對合法應用程式進行木馬化，允許它們以安裝「必要插件」為藉口下載實際的惡意軟體（在本例中為 Octo2）。

目前，沒有證據表明 Octo2 正在透過 Google Play 商店傳播，這意味著用戶要么從不可靠的來源下載這些應用程序，要么透過社會工程策略被欺騙安裝它們。

由於原始 Octo 惡意軟體的原始碼已經洩露並可供各種威脅參與者使用，Octo2 透過更強大的遠端存取功能和先進的混淆技術增強了這一基礎。

據 Cymru 團隊稱，另一個重大發展是 Octo 演變為惡意軟體即服務 (MaaS) 模型。這種轉變使開發人員可以透過向尋求進行資訊竊取活動的網路犯罪分子提供惡意軟體來獲利。

在推廣更新時，Octo 的所有者宣布 Octo2 將以相同的價格向 Octo1 的現有用戶提供，並提供搶先體驗選項。資訊安全研究人員預計，以前使用 Octo1 的用戶將過渡到 Octo2，從而增加其在全球威脅領域的影響力。

Octo2 的關鍵增強功能之一是實施域生成演算法 (DGA) 來產生命令和控制 (C2) 伺服器名稱，以及整體穩定性和反分析技術的改進。

利用基於 DGA 的 C2 系統可提供顯著的優勢，允許威脅行為者迅速切換到新的 C2 伺服器，從而降低網域封鎖清單的有效性並增強針對潛在刪除工作的彈性。

該變體能夠在未檢測到的情況下執行設備上欺詐並捕獲敏感信息，再加上針對各種威脅參與者的輕鬆定制，提高了全球移動銀行用戶的風險。

搜索