Kötü niyetli operatörlerin cihaz üzerinde dolandırıcılık yapmasına izin veren uzaktan erişim özelliklerine sahip Octo adlı yeni bir Android bankacılık kötü amaçlı yazılımı vahşi doğada ortaya çıktı.
Octo, aşağıdakilere dayalı bir kötü amaçlı yazılım çeşidi olan ExoCompact’a dayalı gelişmiş bir Android kötü amaçlı yazılımıdır. Exo truva atı o siber suç alanından çıkmak ve onun vardı kaynak kodu sızdırıldı 2018 yılında.
Yeni varyant, darknet forumlarında satın almak isteyen birkaç kullanıcıyı gözlemleyen ThreatFabric araştırmacıları tarafından keşfedildi.
Cihaz içi dolandırıcılık yetenekleri
Octo’nun ExoCompact’a kıyasla önemli yeni özelliği, tehdit aktörlerinin güvenliği ihlal edilmiş Android cihazını uzaktan kontrol ederek cihaz üzerinde dolandırıcılık (ODF) gerçekleştirmesini sağlayan gelişmiş bir uzaktan erişim modülüdür.
Uzaktan erişim, Android’in MediaProjection’ı aracılığıyla canlı bir ekran akış modülü (her saniye güncellenir) ve Erişilebilirlik Hizmeti aracılığıyla uzaktan eylemler aracılığıyla sağlanır.
Octo, kurbanın uzak işlemlerini gizlemek için siyah bir ekran kaplaması kullanır, ekran parlaklığını sıfıra ayarlar ve “kesinti yok” modunu etkinleştirerek tüm bildirimleri devre dışı bırakır.
Kötü amaçlı yazılım, cihazın kapalı görünmesini sağlayarak, kurbanın haberi olmadan çeşitli görevleri gerçekleştirebilir. Bu görevler ekrana dokunma, hareketler, metin yazma, panoda değişiklik yapma, veri yapıştırma ve yukarı ve aşağı kaydırmayı içerir.
Octo, uzaktan erişim sisteminin yanı sıra, virüslü Android cihazlarda tüm kurbanların eylemlerini izleyip kaydedebilen güçlü bir keylogger’a da sahiptir.
Buna girilen PIN’ler, açılan web siteleri, tıklamalar ve tıklanan öğeler, odak değiştiren olaylar ve metin değiştiren olaylar dahildir.
Son olarak, Octo, en önemlisi olan kapsamlı bir komut listesini destekler:
- Belirtilen uygulamalardan gelen push bildirimlerini engelle
- SMS müdahalesini etkinleştir
- Sesi devre dışı bırakın ve cihazın ekranını geçici olarak kilitleyin
- Belirtilen bir uygulamayı başlatın
- Uzaktan erişim oturumunu başlat/durdur
- C2’lerin listesini güncelle
- Belirtilen URL’yi aç
- Belirtilen telefon numarasına belirtilen metinle SMS gönder
Kampanyalar ve ilişkilendirme
Octo, “Mimar” veya “iyi şanslar” takma adını kullanan bir tehdit aktörü tarafından Rusça konuşan XSS bilgisayar korsanlığı forumu gibi forumlarda satılmaktadır.
Özellikle XSS’deki gönderilerin çoğu Rusça olsa da, Octo ile potansiyel aboneler arasındaki neredeyse tüm gönderiler İngilizce olarak yazılmıştır.
Google Play yayın başarısı, Google Protect devre dışı bırakma işlevi ve tersine mühendislik koruma sistemi dahil olmak üzere ExoCompact ile kapsamlı benzerlikler nedeniyle ThreatFabric, ‘Architect’in ExoCompact’ın kaynak kodunun aynı yazarı veya yeni sahibi olma ihtimalinin yüksek olduğuna inanıyor.
ExoCompact ayrıca daha basit olmasına rağmen bir uzaktan erişim modülüne sahiptir, ayrıca komut yürütme gecikme seçenekleri sunar ve Octo’nunkine benzer bir yönetici paneline sahiptir.
“Böylece, bu gerçekleri göz önünde bulundurarak, ExobotCompact’ın Octo Android bankacılık Truva Atı olarak yeniden markalandırıldığı ve “iyi şanslar” olarak da bilinen sahibi “Architect” tarafından kiralandığı sonucuna vardık. ThreatFabric, bu varyantı ExobotCompact.D olarak takip ediyor,” diyor Threat Fabric içinde onların raporu.
Octo ile cihazlara bulaşan en son Google Play uygulamaları, keşfedilip kaldırıldığı Şubat 2022’ye kadar 50.000 yüklemeye sahip olan “Hızlı Temizleyici” adlı bir uygulamayı içeriyor.
Diğer Octo kampanyaları, sahte tarayıcı güncelleme bildirimleri veya sahte Play Store uygulama güncelleme uyarıları kullanan sitelere dayanıyordu.
Bazı Octo operatörleri, Hızlı Temizleyici işlemi bittikten sonra “Pocket Screencaster” adlı bir uygulamayı kullanarak Play Store’a tekrar sızmayı başardı.
Octo kötü amaçlı yazılımını içeren bilinen Android uygulamalarının tam listesi aşağıda listelenmiştir:
- Cep Screencaster (com.moh.screen)
- Hızlı Temizleyici 2021 (vizeeva.fast.cleaner)
- Play Store (com.restthe71)
- Banka Sonrası Güvenlik (com.carbuildz)
- Cep Screencaster (com.cutthousandjs)
- BAWAG PSK Güvenliği (com.frontwonder2) ve
- Play Store uygulama yüklemesi (com.theseeye5)
Tehlikeli yeni bir cins
Uzaktan erişim modülleri içeren truva atları şunlardır: daha yaygın hale geliyortehdit aktörü cihazı ve oturum açmış hesapları tamamen kontrol ettiği için iki faktörlü kodlar gibi sağlam hesap koruma adımlarını geçersiz kılar.
Kullanıcının cihazının ekranında gördüğü her şey bu kötü amaçlı yazılım varyantlarının erişimi içinde olur, bu nedenle virüs bulaştıktan sonra hiçbir bilgi güvende olmaz ve hiçbir koruma önlemi etkili olmaz.
Bununla birlikte, kullanıcıların uyanık olmaları, akıllı telefonlarında yüklü uygulama sayısını minimumda tutmaları ve Play Protect’in etkinleştirildiğinden emin olmak için düzenli olarak kontrol etmeleri gerekiyor.