Octo adlı yeni bir Android bankacılık kötü amaçlı yazılımları, vahşi doğada, kötü niyetli operatörlerin cihazdaki sahtekarlık yapmasına izin veren uzaktan erişim yetenekleri sunan vahşi doğada ortaya çıktı.
Octo, siber suç alanını bırakan ve kaynak kodunu 2018'de sızdırılmış olan Exo Truva'yı temel alan bir kötü amaçlı yazılım varyantı olan Exocompact, Exocompact'a dayanan gelişmiş bir Android kötü amaçlı yazılımdır.
Yeni Varyant, birkaç kullanıcının Darknet forumlarında satın almak istediğini gözlemleyen tehditfabric'teki araştırmacılar tarafından keşfedildi.
Exocompact ile karşılaştırıldığında Octo'nun önemli yeni özelliği, tehdit aktörlerinin, uzgılanan android cihazın uzaktan kontrol edilmesiyle cihazdaki dolandırıcılık (ODF) gerçekleştirmesini sağlayan gelişmiş bir uzaktan erişim modülüdür.
Uzaktan erişim, Android'in mediaProjeksiyonu ve erişilebilirlik hizmeti aracılığıyla uzaktaki eylemler aracılığıyla canlı bir ekran akış modülü (her saniye güncellenir) ile sağlanır.
Octo, kurbanın uzak işlemlerini gizlemek için siyah bir ekran kaplaması kullanıyor, ekran parlaklığını sıfıra ayarlar ve "kesintisiz" modunu etkinleştirerek tüm bildirimleri devre dışı bırakır.
Cihazın kapatılmasını sağlayarak, kötü amaçlı yazılımlar kurban bilmeden çeşitli görevler yapabilir. Bu görevler arasında ekran muslukları, jestler, metin yazma, pano modifikasyonu, veri yapıştırma ve yukarı ve aşağı kaydırıyor.
Uzaktan erişim sisteminin dışında Octo ayrıca, enfekte olmayan Android cihazlarındaki tüm kurbanların eylemlerini izleyebilen ve yakalayabilen güçlü bir keylogger'a sahiptir.
Bu, girilen pimleri, açılan web sitelerini, tıklamaları ve öğelerin tıkladığında, odak değiştirme olaylarını ve metin değiştirme olaylarını içerir.
Son olarak, OCTO, en önemli varlıkla kapsamlı bir komut listesini destekler:
OCTO, "Mimar" ya da "Goodluck" adını kullanarak Rus konuşan XSS Hacking Forumu gibi forumlarda satılmaktadır.
Belli not, XSS'deki çoğu mesaj Rusça'dadır, Octo ile potansiyel aboneler arasındaki hemen hemen tüm yazılar İngilizce olarak yazılmıştır.
Google Play Yayın Başarısı da dahil olmak üzere, Exocompact'ın kapsamlı benzerlikleri nedeniyle, Google'ı devre dışı bırakma işlevini ve ters mühendislik koruma sistemini korur, tehditfabrik, 'mimar' aynı yazarın ya da Exocompact'ın kaynak kodunun yeni bir sahibi olması için iyi bir şans olduğuna inanıyor.
Exocompact ayrıca, daha basit bir tane olsa da, bir uzaktan erişim modülüne de sahiptir, ayrıca komut yürütme gecikmesi seçenekleri de sağlar ve OCTO'lara benzer bir yönetici paneline sahiptir.
"Böylece, bu gerçeklere akılda tuttuğunuzda, Exobotcompact'in Octo Android Bankacılık Trojanı'na maruz kaldığı ve" Mimar "olarak da bilinen" mimar "olarak da kiralanıyor. raporlarında.
Octo ile enfekte olan Cihazların enfekte olmasının, keşfedildiğinde ve kaldırıldığı zaman, 50.000 kurulum olan "Hızlı Temizleyici" adlı bir uygulamayı içeren bir uygulamayı içerir.
Diğer Octo kampanyaları Sahte Tarayıcı Güncellemesi Bildirimleri veya Bogus Play Store App Update uyarılarını kullanarak sitelere güvendi.
Bazı Octo operatörleri, "Pocket ScreenCaster" adlı bir uygulamayı kullanarak, hızlı temizleyici operasyonu bittikten sonra tekrar hareket ettirmeyi başardı.
Octo malware içeren bilinen Android uygulamalarının tam listesi aşağıda listelenmiştir:
Uzaktan erişim modüllerini içeren Truva atları daha yaygın hale geliyor, threat aktörün cihazı ve oturum açan hesaplarını tamamen kontrol ettiği için iki faktörlü kodlar gibi sağlam hesap koruma adımlarını oluşturuyor.
Kullanıcının cihazın ekranında gördüğü her şey, bu kötü amaçlı yazılım varyantlarının erişiminde olur, böylece enfeksiyondan sonra hiçbir bilgi güvende değildir ve hiçbir koruma önlemi etkili değildir.
Bununla birlikte, kullanıcıların uyanık kalmaları gerekir, akıllı telefonlarına yüklenen uygulamaların en azından tutulması gerektiğini ve oyununun etkinleştirilmesini sağlamak için düzenli olarak kontrol etmesi gerekir.
Sharkbot Malware Google Play'de Android Antivirüs Olarak Hide
Teabot Kötü amaçlı yazılım, ABD kullanıcılarını hedeflemek için Google Play Store'a geri döner
Yeni Xenomorph Android Malware 56 Bankanın Müşterilerini Hedefliyor
Android Trojan Ocak ayından bu yana Google Play Store'da devam ediyor
Android Malware ESCOBAR, Google Authenticator MFA Kodlarınızı Çalıştırır
Kaynak: Bleeping Computer