Octo2 Banking-Trojaner
Cybersicherheitsexperten haben eine aktualisierte Variante des Android-Banking-Trojaners namens Octo identifiziert. Diese Variante ist jetzt mit erweiterten Funktionen ausgestattet, um die Geräteübernahme (Device Takeover, DTO) zu erleichtern und betrügerische Transaktionen zu ermöglichen.
Diese neue Version, die von ihren Entwicklern Octo2 genannt wurde, wurde in irreführenden Kampagnen in ganz Europa verbreitet, darunter Italien, Polen, Moldawien und Ungarn. Die Entwickler haben daran gearbeitet, die Stabilität der Remote-Aktionen zu verbessern, die für erfolgreiche Geräteübernahmeangriffe erforderlich sind.
Inhaltsverzeichnis
Das Auftauchen der Octo Mobile-Malware
Octo wurde erstmals Anfang 2022 von Forschern identifiziert und wird einem Bedrohungsakteur zugeschrieben, der unter den Online-Pseudonymen Architect und Goodluck bekannt ist. Es wurde als „direkter Nachkomme“ der Exobot- Malware eingestuft, die erstmals 2016 entdeckt wurde und später im Jahr 2021 zu einer weiteren Variante namens Coper führte.
Exobot wurde aus dem Quellcode des Banking-Trojaners Marcher entwickelt und bis 2018 aktiv gepflegt. Dabei zielte es mit verschiedenen Kampagnen vor allem auf Finanzinstitute in der Türkei, Frankreich, Deutschland sowie Australien, Thailand und Japan ab. Anschließend veröffentlichte der Bedrohungsakteur, der in Darknet-Foren als „Android“ bezeichnet wird, eine optimierte Version namens ExobotCompact.
Anwendungen mit dem Banking-Trojaner Octo2
Zu den mit Octo2 verbundenen schädlichen Anwendungen gehören Europe Enterprise (com.xsusb_restore3), Google Chrome (com.havirtual06numberresources) und NordVPN (com.handedfastee5).
Diese betrügerischen Android-Anwendungen, die die Malware verbreiten, nutzen einen bekannten APK-Bindungsdienst namens Zombinder. Dieser Dienst ermöglicht die Trojanisierung legitimer Anwendungen und ermöglicht es ihnen, die eigentliche Malware (in diesem Fall Octo2) unter dem Vorwand herunterzuladen, ein „notwendiges Plug-In“ zu installieren.
Derzeit liegen keine Hinweise darauf vor, dass Octo2 über den Google Play Store verbreitet wird. Dies bedeutet, dass Benutzer diese Anwendungen entweder aus unzuverlässigen Quellen herunterladen oder durch Social-Engineering-Taktiken zur Installation verleitet werden.
Da der Quellcode der ursprünglichen Octo-Malware bereits durchgesickert und für verschiedene Bedrohungsakteure leicht zugänglich ist, erweitert Octo2 diese Basis um noch robustere Fernzugriffsfunktionen und fortschrittlichere Verschleierungstechniken.
Octo2 ist mit erweiterten Bedrohungsmöglichkeiten ausgestattet
Eine weitere wichtige Entwicklung ist laut Team Cymru die Weiterentwicklung von Octo zu einem Malware-as-a-Service-Modell (MaaS). Dieser Wandel ermöglicht es dem Entwickler, Gewinne zu erzielen, indem er die Malware an Cyberkriminelle weitergibt, die Informationen stehlen möchten.
Im Rahmen der Werbung für das Update kündigte der Eigentümer von Octo an, dass Octo2 für bestehende Benutzer von Octo1 zum gleichen Preis mit Optionen für den frühen Zugriff verfügbar sein würde. Infosec-Forscher gehen davon aus, dass diejenigen, die zuvor Octo1 verwendet haben, auf Octo2 umsteigen werden, wodurch dessen Präsenz in der globalen Bedrohungslandschaft zunimmt.
Zu den wichtigsten Verbesserungen in Octo2 gehört die Implementierung eines Domain Generation Algorithm (DGA) zur Generierung der Command-and-Control (C2)-Servernamen sowie Verbesserungen der Gesamtstabilität und der Anti-Analyse-Techniken.
Die Nutzung eines DGA-basierten C2-Systems bietet einen erheblichen Vorteil, da es Bedrohungsakteuren ermöglicht, schnell auf neue C2-Server umzusteigen, was die Wirksamkeit von Domänennamen-Blocklisten verringert und die Widerstandsfähigkeit gegenüber potenziellen Abschaltungsversuchen erhöht.
Die Fähigkeit dieser Variante, unentdeckt Betrug auf dem Gerät durchzuführen und vertrauliche Informationen zu erfassen sowie die mühelose Anpassung an verschiedene Bedrohungsakteure erhöht das Risiko für Benutzer des mobilen Bankings weltweit.
