Octo Banking Trojan

Cybersicherheitsforscher konnten die Spuren eines weiteren potenten Android-Banking-Trojaners finden. Die Bedrohung wurde als Octo nachverfolgt und gehört laut der von Malware-Forschern durchgeführten Analyse zu einer mobilen Malware-Familie namens Exobot. Genauer gesagt scheint Octo eine überarbeitete Version der ExobotCompact-Bedrohung zu sein. Diese Umbenennung wurde möglicherweise von Cyberkriminellen vorgenommen, um die neuen Varianten als brandneue bedrohliche Kreationen darzustellen und sie von der Tatsache zu distanzieren, dass der Quellcode von Exobot geleakt wurde.

Köder-Anwendungen

Die Octo-Bedrohung wurde über beschädigte Anwendungen verbreitet, die als Dropper fungieren. Einige der Anwendungen waren eine Zeit lang im Google Play Store verfügbar, wo sie über 50.000 Downloads anhäufen konnten. Die Betreiber von Octo verwendeten auch betrügerische Websites und Zielseiten, die die Anwendungen unter dem Deckmantel von Browser-Updates auf die Geräte der Opfer ablegten. Die betrügerischen Anwendungen gaben sich als Anwendungsinstallationsprogramme, Bildschirmaufzeichnungs- und Finanzanwendungen aus. Einige der identifizierten Anwendungen, die die Octo-Bedrohung verbreiten, waren Pocket Screencaster (com.moh.screen), Fast Cleaner 2021 (vizeeva.fast.cleaner), Postbank Security (com.carbuildz), BAWAG PSK Security (com.frontwonder2), Play Store App-Installation (com.theseeye5) usw.

Bedrohliche Fähigkeiten

Die Benutzer werden aufgefordert, den betrügerischen Programmen Zugriffsberechtigungen zu erteilen. Ein weiterer legitimer Dienst, der von Octo ausgenutzt wird, ist die MediaProjection-API von Android. Es ermöglicht der Bedrohung, den Inhalt des Gerätebildschirms in Echtzeit zu erfassen. In der Praxis bedeutet dies, dass Octo On-Device-Betrug (ODF) automatisch ohne manuelles Eingreifen seiner Bediener durchführen kann. Die Bedrohung kann Overlay-Angriffe gegen mehrere Finanz- und Bankanwendungen durchführen, um die Anmeldeinformationen des Benutzers zu erhalten. Octo kann auch Keylogging-Routinen einrichten, Kontaktinformationen sammeln, die Fernsteuerung über das Gerät erlangen und vieles mehr. Die Bedrohung ist auch mit Umgehungstechniken ausgestattet, um die Erkennung zu erschweren, und mit Persistenzmechanismen, um sicherzustellen, dass sie länger auf den kompromittierten Geräten vorhanden ist.