Ερευνητές στον τομέα της κυβερνοασφάλειας έχουν ανακαλύψει μια νέα έκδοση ενός Android τραπεζικού trojan, γνωστό ως Octo2.
Το trojan αυτό διαθέτει ενισχυμένες δυνατότητες για τη διεξαγωγή παραλαβής συσκευών (DTO) και την εκτέλεση παράνομων συναλλαγών. Αυτή η νέα έκδοση, που φέρει την ονομασία Octo2, αναφέρθηκε από την ολλανδική εταιρεία ασφαλείας ThreatFabric σε report που δημοσιεύθηκε στο The Hacker News. Είναι σημαντικό να σημειωθεί ότι έχουν εντοπιστεί εκστρατείες διανομής του κακόβουλου λογισμικού σε ευρωπαϊκές χώρες, όπως η Ιταλία, η Πολωνία, η Μολδαβία και η Ουγγαρία.
Διαβάστε σχετικά: Η Μαλαισία ενισχύει την Τεχνική και Επαγγελματική Εκπαίδευση & Κατάρτιση
“Οι προγραμματιστές κακόβουλου λογισμικού έχουν λάβει μέτρα για να ενισχύσουν τη σταθερότητα των απομακρυσμένων ενεργειών που απαιτούνται για επιθέσεις εξαγοράς συσκευών,” δήλωσε η ThreatFabric. Μεταξύ των κακόβουλων εφαρμογών που περιέχουν το Octo2, περιλαμβάνονται οι εξής:
Αποστολές Starship στον Άρη: Τα Φιλόδοξα Σχέδια του Musk
- Europe Enterprise (com.xsusb_restore3)
- Google Chrome (com.havirtual06numberresources)
- NordVPN (com.handedfastee5)
Το Octo αναγνωρίστηκε για πρώτη φορά από την εταιρεία στα τέλη του 2021 και περιγράφηκε ως έργο μιας κακόβουλης συμμορίας που χρησιμοποιεί τα ψευδώνυμα Architect και goodluck. Εκτιμάται ότι είναι “άμεσος απόγονος” του κακόβουλου λογισμικού Exobot, το οποίο εντοπίστηκε το 2016 και οδήγησε στη δημιουργία μιας άλλης παραλλαγής, του Coper, το 2021.
“Η βάση του πηγαίου κώδικα του τραπεζικού Trojan Marcher διατήρησε το Exobot έως το 2018, στοχεύοντας χρηματοπιστωτικά ιδρύματα με ποικιλία εκστρατειών που εστίαζαν στην Τουρκία, τη Γαλλία και τη Γερμανία, καθώς και στην Αυστραλία, την Ταϊλάνδη και την Ιαπωνία,” σημείωσε η ThreatFabric. “Στη συνέχεια, παρουσιάστηκε μια ‘lite’ εκδοχή του, γνωστή ως ExobotCompact, από τον ίδιο ηθοποιό απειλών που χρησιμοποιεί το ψευδώνυμο ‘android’ στα dark-web φόρουμ.”
Δείτε περισσότερα: Το Necro malware loader έχει μολύνει 11 εκατ. συσκευές μέσω Google Play
Η εμφάνιση του Octo2 λέγεται ότι οφείλεται κυρίως στη διαρροή του πηγαίου κώδικα Octo νωρίτερα αυτό το έτος, οδηγώντας άλλους παράγοντες απειλών να δημιουργήσουν πολλές παραλλαγές του κακόβουλου λογισμικού.
Μια άλλη σημαντική εξέλιξη είναι η μετάβαση της Octo σε λειτουργία malware-as-a-service (MaaS), ανά ομάδα Cymru, δίνοντας τη δυνατότητα στον προγραμματιστή να δημιουργήσει έσοδα από το κακόβουλο λογισμικό προσφέροντας το σε εγκληματίες του κυβερνοχώρου που θέλουν να πραγματοποιήσουν επιχειρήσεις κλοπής πληροφοριών.
Κατά την προώθηση της ενημέρωσης, ο ιδιοκτήτης του Octo ανακοίνωσε ότι το Octo2 θα είναι διαθέσιμο στους χρήστες του Octo1 στην ίδια τιμή με έγκαιρη πρόσβαση, όπως δήλωσε η ThreatFabric. “Αναμένουμε ότι οι φορείς που χρησιμοποιούν το Octo1 θα στραφούν στο Octo2, φέρνοντάς το έτσι στο προσκήνιο της παγκόσμιας απειλής.”
Μία από τις σημαντικές αναβαθμίσεις του Octo2 είναι η προσθήκη ενός αλγόριθμου δημιουργίας τομέα (DGA) για την παραγωγή ονομάτων διακομιστών εντολών και ελέγχου (C2), καθώς και για τη βελτίωση της συνολικής σταθερότητας και των τεχνικών κατά της ανάλυσης.
Διαβάστε ακόμη: Το PondRAT malware στοχεύει προγραμματιστές με πακέτα Python
Οι επικίνδυνες Android εφαρμογές που διαδίδουν το κακόβουλο λογισμικό κατασκευάζονται μέσω μιας γνωστής υπηρεσίας δέσμευσης APK, ονόματι Zombinder, που επιτρέπει την τρωανοποίηση νόμιμων εφαρμογών, έτσι ώστε να αποκτούν το πραγματικό κακόβουλο λογισμικό (σε αυτή την περίπτωση, το Octo2) υπό την κάλυψη ενός “απαραίτητου plugin”.
“Με τον πηγαίο κώδικα του αρχικού κακόβουλου λογισμικού Octo να έχει ήδη διαρρεύσει και να είναι εύκολα προσβάσιμος σε διάφορους παράγοντες απειλής, το Octo2 στηρίζεται σε αυτό το θεμέλιο, προσφέροντας ακόμη πιο ισχυρές δυνατότητες απομακρυσμένης πρόσβασης και προηγμένες τεχνικές συσκότισης”, δήλωσε η ThreatFabric.
Δείτε επίσης: Η σκοτεινή πλευρά της κουλτούρας των Influencers – Όταν η φήμη μετατρέπεται σε στόχο για κυβερνοέγκλημα
“Η ικανότητα αυτής της παραλλαγής να εκτελεί αόρατα απάτες στη συσκευή και να υποκλέπτει ευαίσθητα δεδομένα, σε συνδυασμό με την ευκολία προσαρμογής της από διάφορους παράγοντες απειλής, αυξάνει τον κίνδυνο για τους χρήστες mobile banking παγκοσμίως.”
Πηγή: thehackernews
