Nameščen androidni trojanec Octo banking 50,000 krat

Strokovnjaki ThreatFabric govoril o bančnem androidnem trojancu Octo, nedavno odkrit v trgovini Google Play. Zlonamerna programska oprema, ki krade podatke iz bančnih in drugih finančnih aplikacij, se imenuje Octo in je bila nameščena več kot 50,000 krat.

Raziskovalci pravijo, da oktober je modifikacija druge zlonamerne programske opreme za Android, ExobotCompact, ki, po vrsti, je “svetloba” različica znanega Exobot zlonamerna programska oprema, katerega izvorna koda je postala javna v 2018. Poznavalci pravijo, da je grožnja povezana tudi z skodelica zlonamerna programska oprema, ki je bil odkrit v 2021 in napadel uporabnike iz Kolumbije, pa tudi evropske države.

Kot pri drugih bančnih trojancih za Android, Octo se skriva v aplikacijah za kapljanje, katerih glavni namen je razporediti vanje vdelano koristno obremenitev. Spodaj je naveden seznam takšnih aplikacij, ki jih uporablja več napadalcev za distribucijo Octo in Coper:

1. Pocket Screencaster (com.moh.screen)
2. Hitro čistilo 2021 (vizeeva.fast.cleaner)
3. Trgovina z igračami (com.restthe71)
4. Varnost Postbank (com.carbuildz)
5. Pocket Screencaster (com.cutthousandjs)
6. IZBRIŠI varnost PSK (com.frontwonder2), in
7. Namestitev aplikacije Trgovina Play (com.theseeye5).

Te aplikacije, predstavljajo se kot namestitve aplikacij Trgovine Play, snemalniki zaslona, in finančna orodja, se distribuirajo prek uradnih Trgovina Google Play in prevarantska spletna mesta, ki uporabnike opozarjajo, naj nujno prenesejo lažno posodobitev brskalnika.

Ko je nameščen, kapalke se uporabljajo kot kanal za zagon trojancev, vendar ne preden uporabniki zahtevajo, da vklopijo storitve dostopnosti.

Kot zanimivost Octo, strokovnjaki imenujejo uporabo Android MediaProjection API, s pomočjo katerega napadalci pridobijo daljinski nadzor nad okuženimi napravami in lahko v realnem času zajamejo vsebino zaslona. Ob istem času, končni cilj hekerjev je »samodejna iniciacija goljufivih transakcij in njihova avtorizacija brez »ročnega« sodelovanja operaterja«, ki kriminalcem omogoča izvajanje napadov v velikem obsegu.

Druge pomembne funkcije Octo vključujejo prestrezanje pritiskov tipk, prekrivanje bančnih aplikacij (za zajem poverilnic), zbiranje kontaktnih podatkov, in zmožnost zlonamerne programske opreme, da obide protivirusne mehanizme.

Octo se trenutno prodaja na hekerskih forumih, vključno z XSS, napadalec z uporabo vzdevkov Arhitekt in vso srečo. Opozoriti je treba, da je večina sporočil XSS napisana v ruščini, skoraj vsa komunikacija med razvijalcem Octo in potencialnimi strankami poteka v angleščini.

Naj vas spomnim, da smo govorili tudi o bančni trojanec lov Namesti zlonamerne razširitve za Chrome, in tudi to Anubis Android Banker skoraj cilja 400 Uporabniki finančne aplikacije.