Μια νέα έκδοση του κακόβουλου λογισμικού Octo Android, με το όνομα “Octo2”, έχει παρατηρηθεί να εξαπλώνεται σε όλη την Ευρώπη με το πρόσχημα του NordVPN, του Google Chrome και μιας εφαρμογής που ονομάζεται Europe Enterprise.
Η νέα παραλλαγή, αναλύθηκε από το ThreatFabricδιαθέτει καλύτερη λειτουργική σταθερότητα, πιο προηγμένους μηχανισμούς αντι-ανάλυσης και αντι-ανίχνευσης και ένα σύστημα αλγόριθμου δημιουργίας τομέα (DGA) για ελαστικές επικοινωνίες εντολών και ελέγχου (C2).
Τελικά, η εμφάνισή του στη φύση επιβεβαιώνει ότι το έργο είναι ζωντανό και εξελίσσεται παρά τις αναταράξεις που πέρασε πρόσφατα.
Σύντομη ιστορία και εξέλιξη
Το Octo είναι ένα τραπεζικό trojan Android που εξελίχθηκε από το ExoCompact (2019-2021), το οποίο το ίδιο βασίστηκε στο trojan ExoBot που κυκλοφόρησε το 2016 και διέρρευσε ο πηγαίος κώδικας του στο διαδίκτυο το καλοκαίρι του 2018.
Η ThreatFabric ανακάλυψε την πρώτη έκδοση του Octo τον Απρίλιο του 2022 σε ψεύτικες εφαρμογές καθαρισμού στο Google Play. Η αναφορά του TF εκείνη την εποχή τόνισε τις δυνατότητες απάτης του κακόβουλου λογισμικού στη συσκευή που επέτρεψαν στους χειριστές του εκτεταμένη πρόσβαση στα δεδομένα του θύματος.
Μεταξύ άλλων, το Octo v1 υποστήριζε καταγραφή πλήκτρων, πλοήγηση στη συσκευή, παρακολούθηση ειδοποιήσεων SMS και push, κλείδωμα οθόνης συσκευής, σίγαση ήχου, αυθαίρετες εκκινήσεις εφαρμογών και χρήση μολυσμένων συσκευών για διανομή SMS.
Η ThreatFabric λέει ότι το Octo διέρρευσε φέτος, προκαλώντας πολλαπλές διχάλες του κακόβουλου λογισμικού να εμφανιστούν στη φύση, προφανώς δημιουργώντας ένα βαθούλωμα στις πωλήσεις για τον αρχικό δημιουργό, τον «Αρχιτέκτονα».
Μετά από αυτά τα γεγονότα, ο Architect ανακοίνωσε το Octo2, πιθανότατα ως μια προσπάθεια να ρίξει μια αναβαθμισμένη έκδοση στην αγορά κακόβουλου λογισμικού και να προκαλέσει το ενδιαφέρον των κυβερνοεγκληματιών. Ο δημιουργός του κακόβουλου λογισμικού ανακοίνωσε μάλιστα ειδική έκπτωση για τους πελάτες του Octo v1.
Πηγή: ThreatFabric
Octo2 επιχειρήσεις στην Ευρώπη
Οι καμπάνιες που αναπτύσσουν επί του παρόντος το Octo2 επικεντρώνονται στην Ιταλία, την Πολωνία, τη Μολδαβία και την Ουγγαρία. Ωστόσο, καθώς η πλατφόρμα Octo Malware-as-a-Service (MaaS) είχε προηγουμένως διευκολύνει επιθέσεις σε όλο τον κόσμο, συμπεριλαμβανομένων των ΗΠΑ, του Καναδά, της Αυστραλίας και της Μέσης Ανατολής, πιθανότατα θα δούμε σύντομα να εμφανίζονται καμπάνιες Octo2 σε άλλες περιοχές.
Στις ευρωπαϊκές επιχειρήσεις, οι φορείς απειλών χρησιμοποιούν ψεύτικες εφαρμογές NordVPN και Google Chrome, καθώς και μια εφαρμογή Europe Enterprise, η οποία είναι πιθανόν δέλεαρ που χρησιμοποιείται σε στοχευμένες επιθέσεις.
Το Octo2 χρησιμοποιεί την υπηρεσία Zombider για να προσθέσει το κακόβουλο ωφέλιμο φορτίο σε αυτά τα APK, ενώ παρακάμπτει τους περιορισμούς ασφαλείας του Android 13 (και νεότερες εκδόσεις).
Πηγή: ThreatFabric
Πιο σταθερό, πιο υπεκφυγές, πιο ικανό
Το Octo2 είναι περισσότερο μια κυλιόμενη αναβάθμιση στην πρώτη έκδοση, βελτιώνοντας το κακόβουλο λογισμικό σταδιακά αντί να εφαρμόζει πρωτοποριακές αλλαγές ή να ξαναγράφει κώδικα από την αρχή.
Πρώτον, ο δημιουργός κακόβουλου λογισμικού εισήγαγε μια νέα ρύθμιση χαμηλής ποιότητας στη μονάδα του εργαλείου απομακρυσμένης πρόσβασης (RAT) που ονομάζεται “SHIT_QUALITY”, η οποία μειώνει τις μεταδόσεις δεδομένων στο ελάχιστο, επιτρέποντας πιο αξιόπιστη συνδεσιμότητα όταν οι ταχύτητες σύνδεσης στο Διαδίκτυο είναι κατώτερες.
Το Octo2 αποκρυπτογραφεί επίσης το ωφέλιμο φορτίο του χρησιμοποιώντας εγγενή κώδικα και περιπλέκει την ανάλυση φορτώνοντας δυναμικά πρόσθετες βιβλιοθήκες κατά την εκτέλεση, βελτιώνοντας περαιτέρω τις ήδη ισχυρές δυνατότητές του για αποφυγή.
Τέλος, το Octo2 εισάγει ένα σύστημα τομέα C2 που βασίζεται σε DGA που επιτρέπει στους χειριστές να ενημερώνουν γρήγορα και να μεταβαίνουν σε νέους διακομιστές C2, καθιστώντας τις λίστες αποκλεισμού αναποτελεσματικές και βελτιώνοντας την ανθεκτικότητα σε απόπειρες κατάργησης διακομιστή.
Το ThreatFabric σημειώνει επίσης ότι το Octo2 λαμβάνει τώρα μια λίστα εφαρμογών για να υποκλέψει και να αποκλείσει τις ειδοποιήσεις push, επιτρέποντας στους χειριστές να βελτιώσουν το εύρος στόχευσής τους.
Το Octo2 δεν έχει εντοπιστεί στο Google Play, επομένως η διανομή του πιστεύεται επί του παρόντος ότι περιορίζεται σε καταστήματα εφαρμογών τρίτων, τα οποία οι χρήστες Android θα πρέπει να αποφεύγουν.
VIA: bleepingcomputer.com
