Cybersecurityonderzoekers hebben een nieuwe versie van een Android-bankingtrojan ontdekt, genaamd Octo. Deze versie biedt verbeterde mogelijkheden om apparaatovername (DTO) uit te voeren en frauduleuze transacties uit te voeren.
De nieuwe versie heeft de codenaam Octo2 Het Nederlandse beveiligingsbedrijf ThreatFabric meldde het in een rapport dat de auteur van de malware deelde met The Hacker News. Ook zijn er campagnes gesignaleerd in Europese landen als Italië, Polen, Moldavië en Hongarije die de malware verspreiden.
“De ontwikkelaars van de malware hebben maatregelen genomen om de stabiliteit van de mogelijkheden voor externe acties die nodig zijn voor Device Takeover-aanvallen te vergroten”, aldus het bedrijf.
Hieronder staan enkele van de schadelijke apps die Octo2 bevatten:
- Europa Enterprise (com.xsusb_restore3)
- Google Chrome (com.havirtual06numberresources)
- NordVPN (com.handedfastee5)
Octo werd voor het eerst door het bedrijf gemarkeerd begin 2022, en beschreef het als het werk van een dreigingsactor die online bekendstaat als Architect en goodluck. Het is beoordeeld als een “directe afstammeling” van de Exobot-malware die oorspronkelijk in 2016 werd gedetecteerd, die in 2021 ook een andere variant met de naam Coper voortbracht.
“Op basis van de broncode van de banking-Trojan Marcher werd Exobot tot 2018 onderhouden en richtte het zich met verschillende campagnes op financiële instellingen, gericht op Turkije, Frankrijk en Duitsland, maar ook op Australië, Thailand en Japan”, aldus ThreatFabric destijds.
“Daarna werd een ‘lite’-versie geïntroduceerd, die door de auteur, de kwaadwillende partij die op darkwebfora bekendstaat als ‘android’, ExobotCompact werd genoemd.”
De opkomst van Octo2 zou vooral het gevolg zijn van het lekken van de Octo-broncode eerder dit jaar, waardoor andere kwaadwillenden meerdere varianten van de malware hebben ontwikkeld.
Een andere belangrijke ontwikkeling is de overstap van Octo naar een malware-as-a-service (MaaS)-operatie, aldus Team Cymru. Hierdoor kan de ontwikkelaar de malware geldelijker maken door deze aan te bieden aan cybercriminelen die informatie willen stelen.
“Bij het promoten van de update kondigde de eigenaar van Octo aan dat Octo2 beschikbaar zal zijn voor gebruikers van Octo1 voor dezelfde prijs met vroege toegang,” zei ThreatFabric. “We kunnen verwachten dat de actoren die Octo1 bedienden, zullen overstappen naar Octo2, en het zo naar het wereldwijde dreigingslandschap brengen.”
Een van de belangrijkste verbeteringen van Octo2 is de introductie van een Domain Generation Algorithm (DGA) om de command-and-control (C2) servernaam te creëren. Daarnaast zijn de algehele stabiliteit en anti-analysetechnieken verbeterd.
De frauduleuze Android-apps die de malware verspreiden, worden gemaakt met behulp van een bekende APK-bindingsservice genaamd Zombinder. Hiermee kunnen legitieme applicaties worden getrojaniseerd, zodat ze de daadwerkelijke malware (in dit geval Octo2) ophalen onder het mom van het installeren van een ‘noodzakelijke plug-in’.
“Nu de broncode van de originele Octo-malware al is gelekt en gemakkelijk toegankelijk is voor verschillende kwaadwillenden, bouwt Octo2 voort op deze basis met nog robuustere mogelijkheden voor externe toegang en geavanceerde verhullingstechnieken”, aldus ThreatFabric.
“De mogelijkheid van deze variant om op een onzichtbare manier fraude te plegen op het apparaat en gevoelige gegevens te onderscheppen, gecombineerd met het gemak waarmee de variant kan worden aangepast door verschillende dreigingsactoren, verhoogt de inzet voor gebruikers van mobiel bankieren wereldwijd.”