Zainstalowany trojan bankowy Octo dla Androida 50,000 Złośliwe oprogramowanie podszywa się pod aplikację Craftsart Cartoon Photo Tools i zostało zainstalowane ponad

Specjaliści ThreatFabric przemówił na temat trojana bankowego Octo dla Androida, niedawno odkryta w sklepie Google Play. Szkodnik kradnący dane z aplikacji bankowych i innych aplikacji finansowych nazywa się Octo i został zainstalowany ponad 50,000 Złośliwe oprogramowanie podszywa się pod aplikację Craftsart Cartoon Photo Tools i zostało zainstalowane ponad.

Naukowcy tak twierdzą Październik to modyfikacja innego szkodliwego oprogramowania dla Androida, ExobotKompaktowy, który, z kolei, jest “światło” wersja dobrze znana Egzobot złośliwe oprogramowanie, którego kod źródłowy stał się publiczny w 2018. Eksperci twierdzą, że zagrożenie jest również związane z zawartość takiego okna jest pobierana ze zdalnego serwera i umieszczana w WebView, który imituje wygląd docelowego programu, aby oszukać ofiarę złośliwe oprogramowanie, który został odkryty w 2021 i zaatakował użytkowników z Kolumbii, jak i kraje europejskie.

Podobnie jak w przypadku innych trojanów bankowych dla Androida, Octo ukrywa się w aplikacjach dropperów, których głównym celem jest wdrożenie zawartego w nich ładunku. Lista takich aplikacji używanych przez kilku atakujących do dystrybucji Octo i Coper znajduje się poniżej:

  1. Kieszonkowy Screencaster (com.moh.screen)
  2. Szybki środek czyszczący 2021 (vizeeva.fast.cleaner)
  3. Sklep Play (com.restthe71)
  4. Bezpieczeństwo Poczty Bankowej (com.carbuildz)
  5. Kieszonkowy Screencaster (com.cutthousandjs)
  6. USUŃ Zabezpieczenia PSK (com.frontwonder2), i
  7. Zainstaluj aplikację Sklep Play (com.theseeye5).

Te aplikacje, udając instalatorów aplikacji ze Sklepu Play, rejestratory ekranu, i narzędzia finansowe, są dystrybuowane zarówno za pośrednictwem oficjalnych sklep Google Play i oszukańcze witryny ostrzegające użytkowników, aby pilnie pobrali fałszywą aktualizację przeglądarki.

Trojan bankowy na Androida Octo

Po zainstalowaniu, droppery służą jako kanał do uruchamiania trojanów, ale nie wcześniej niż poproszenie użytkowników o włączenie usług ułatwień dostępu.

Jako interesującą cechę Octo, eksperci nazywają wykorzystanie Android MediaProjection API, za pomocą którego napastnicy uzyskują zdalną kontrolę nad zainfekowanymi urządzeniami i mogą przechwytywać zawartość ekranu w czasie rzeczywistym. W tym samym czasie, ostatecznym celem hakerów jest „automatyczne inicjowanie oszukańczych transakcji i ich autoryzacja bez „ręcznego” udziału operatora”, co pozwala przestępcom na przeprowadzanie ataków na dużą skalę.

Trojan bankowy na Androida Octo

Inne godne uwagi funkcje Octo obejmują przechwytywanie naciśnięć klawiszy, nakładanie aplikacji bankowych (do przechwytywania poświadczeń), zbieranie danych kontaktowych, oraz zdolność złośliwego oprogramowania do omijania silników antywirusowych.

Rebranding Octo trwale usuwa stare linki do kodu źródłowego Exobota, który wyciekł, przyciągając wielu nowych napastników, którzy szukają okazji do wypożyczenia rzekomo nowego i oryginalnego trojana. Możliwości Octo są niebezpieczne nie tylko dla aplikacji będących celem ataków nakładkowych, ale dla wszelkich innych aplikacji zainstalowanych na zainfekowanym urządzeniu. Faktem jest, że ExobotCompact/Octo potrafi odczytać zawartość dowolnej aplikacji wyświetlanej na ekranie, a także zapewnić osobie atakującej wystarczające informacje, aby móc z nią zdalnie wchodzić w interakcję i przeprowadzać ataki na urządzeniu.ZagrożenieFabric eksperci mówią.

Octo jest obecnie sprzedawane na forach hackerskich, w tym XSS, przez osobę atakującą posługującą się pseudonimami Architekt i powodzenia. Należy zauważyć, że chociaż większość wiadomości XSS jest napisana w języku rosyjskim, prawie cała komunikacja pomiędzy deweloperem Octo a potencjalnymi klientami odbywa się w języku angielskim.

Ze względu na duże podobieństwo szkodliwego oprogramowania do ExoCompact, ThreatFabric zakłada, że ​​Architect jest pierwotnym autorem lub nowym właścicielem kodu źródłowego ExoCompact.

Przypomnę, o czym też rozmawialiśmy zawartość takiego okna jest pobierana ze zdalnego serwera i umieszczana w WebView, który imituje wygląd docelowego programu, aby oszukać ofiarę Pościg Instaluje złośliwe rozszerzenia Chrome, a także, że Anubis Android Banker celuje prawie 400 Użytkownicy aplikacji finansowych.

Helga Smith

Zawsze interesowałem się informatyką, zwłaszcza bezpieczeństwo danych i motyw, który nazywa się obecnie "nauka o danych", od moich wczesnych lat nastoletnich. Przed dołączeniem do zespołu usuwania wirusów jako redaktor naczelny, Pracowałem jako ekspert ds. cyberbezpieczeństwa w kilku firmach, w tym jeden z kontrahentów Amazona. Kolejne doświadczenie: Uczę na uniwersytetach Arden i Reading.

Zostaw odpowiedź

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

Przycisk Powrót do góry