Octo Android kötü amaçlı yazılımların "OCTO2" adlı yeni bir sürümü, NordVPN, Google Chrome ve Europe Enterprise adlı bir uygulama altında Avrupa'ya yayıldığı görüldü.
TehditFabric tarafından analiz edilen yeni varyant, daha iyi operasyonel stabilite, daha gelişmiş anti-anti-anti-anti-anti-anti-anti-anti-anti-algoritma mekanizmaları ve esnek komut ve kontrol (C2) iletişim için bir alan üretim algoritması (DGA) sistemine sahiptir.
Nihayetinde, Vahşi'deki görünümü, son zamanlarda yaşadığı türbülansa rağmen projenin canlı ve geliştiğini doğrular.
Octo, 2016'da piyasaya sürülen ve kaynak kodunu 2018 yazında çevrimiçi sızdıran Exobot Truva atına dayanan ExoCompact'tan (2019-2021) gelişen bir Android Bankacılık Truva atıdır.
TehditFabric, Octo'nun ilk sürümünü Nisan 2022'de Google Play'deki sahte temizleyici uygulamalar hakkında keşfetti. TF'nin o zamanki raporu, operatörlerinin kurbanın verilerine kapsamlı erişimine izin veren kötü amaçlı yazılım sahtekarlık yeteneklerini vurguladı.
Diğer şeylerin yanı sıra, Octo V1, anahtarlık, cihaz içi navigasyon, SMS ve push bildirim müdahalesi, cihaz ekran kilitleme, ses seslendirme, keyfi uygulama lansmanları ve SMS dağılımı için enfekte olmuş cihazları kullanmayı destekledi.
TehditFabric, Octo'nun bu yıl sızdırıldığını ve kötü amaçlı yazılımın birden fazla çatalının vahşi doğada görünmesine neden olduğunu ve muhtemelen orijinal yaratıcısı 'Mimar' için satışlarda bir çentik yarattığını söyledi.
Bu olayların ardından Mimar, muhtemelen kötü amaçlı yazılım pazarına yükseltilmiş bir versiyon atma ve siber suçluların ilgisini çekme girişimi olarak OCTO2'yi duyurdu. Kötü amaçlı yazılım yaratıcısı Octo V1 müşterileri için özel bir indirim bile duyurdu.
OCTO2'yi konuşlandıran kampanyalar İtalya, Polonya, Moldova ve Macaristan'a odaklanıyor. Bununla birlikte, Octo Hizmet Olarak Kötü Yazılım (MAAS) platformu daha önce ABD, Kanada, Avustralya ve Orta Doğu da dahil olmak üzere dünya çapında saldırıları kolaylaştırmış olduğundan, muhtemelen OCTO2 kampanyalarının yakında diğer bölgelerde göründüğünü göreceğiz.
Avrupa operasyonlarında, tehdit aktörleri sahte NordvPN ve Google Chrome uygulamalarının yanı sıra hedeflenen saldırılarda kullanılan bir cazibe olan bir Avrupa kurumsal uygulamasını kullanıyor.
OCTO2, Android 13 (ve daha sonra) güvenlik kısıtlamalarını atlarken bu APK'lara kötü amaçlı yükü eklemek için Zombider hizmetini kullanır.
OCTO2, çığır açan değişiklikleri uygulamak veya sıfırdan yeniden yazmak yerine kötü amaçlı yazılımları artımlı olarak geliştirerek ilk sürüme yükseltme işlemidir.
İlk olarak, kötü amaçlı yazılım yazarı, "Shit_quality" adı verilen uzaktan erişim aracı (RAT) modülüne veri aktarımlarını minimumda düşüren ve internet bağlantı hızları subpar olduğunda daha güvenilir bir bağlantıya izin veren yeni bir düşük kaliteli ayar tanıttı.
OCTO2 ayrıca, yerel kod kullanarak yükünü şifresini çözer ve yürütme sırasında ek kütüphaneleri dinamik olarak yükleyerek analizi karmaşıklaştırır ve zaten güçlü kaçınma özelliklerini daha da geliştirir.
Son olarak, OCTO2, operatörlerin hızlı bir şekilde güncellenmesine ve yeni C2 sunucularına geçmesine olanak tanıyan, blok listelerini etkisiz hale getiren ve sunucu yayından kaldırma denemelerine karşı esnekliği artıran DGA tabanlı bir C2 etki alanı sistemi getirir.
TehditFabric ayrıca OCTO2'nin şimdi push bildirimlerini engellemek ve engellemek için bir uygulama listesi aldığını ve operatörlerin hedefleme kapsamlarını geliştirmesine izin verdiğini belirtiyor.
OCTO2 Google Play'de tespit edilmedi, bu nedenle dağıtımının şu anda Android kullanıcılarının kaçınması gereken üçüncü taraf uygulama mağazalarıyla sınırlı olduğuna inanılıyor.
Infostealer kötü amaçlı yazılım, Chrome’un yeni çerez-çalı savunmasını atlar
Yeni VO1D kötü amaçlı yazılım 1,3 milyon Android akış kutusuna bulaştı
Spyagent Android kötü amaçlı yazılım, kripto kurtarma cümlelerinizi resimlerden çalıyor
Rus APT29 Hacker'ları IOS, casus yazılım satıcıları tarafından oluşturulan krom istismarları kullanıyor
Android güvenlik özelliğini engelleyerek yeni Lianspy kötü amaçlı yazılım gizliyor
Kaynak: Bleeping Computer