Octo kötü amaçlı yazılım ailesinin arkasındaki orijinal tehdit aktörü, Cihaz Ele Geçirme saldırılarını kolaylaştırmak için uzaktan eylem yetenekleri için gelişmiş kararlılığa sahip yeni bir tür olan Octo2’yi yayınladı.
Bu yeni varyant, Avrupa ülkelerini hedef alıyor ve tespit edilmekten kaçınmak ve Truva atının tespit edilememesini sağlamak için Alan Oluşturma Algoritması (DGA) da dahil olmak üzere gelişmiş karartma teknikleri kullanıyor.
Başlangıçta bir bankacılık trojanı olan Exobot kötü amaçlı yazılım ailesi, 2019’da ExobotCompact’a dönüştü. 2021’de “Coper” olarak adlandırılan yeni bir varyant keşfedildi ve ExobotCompact olarak tanımlandı ve 2022’de ExobotCompact, “Octo” olarak yeniden markalandı.
O zamandan beri Octo, sızdırılan kaynak kodu ve gelişmiş uzaktan erişim yetenekleri sunan yeni sürümü Octo2 nedeniyle tehdit aktörleri arasında popülerlik kazandı.
Bu durum, mobil tehdit ortamında Octo’yu içeren faaliyetlerin ve kampanyaların artmasına yol açtı.
Octo2 kötü amaçlı yazılımının analizi, kötü amaçlı yazılım hizmeti platformunun Avrupa, ABD, Kanada, Orta Doğu, Singapur ve Avustralya dahil olmak üzere çeşitli bölgelerde gözlemlenmesi nedeniyle küresel hedefleme potansiyelini ortaya koyuyor.
Octo2’nin ayarları, belirli uygulamalardan gelen anlık bildirimleri engellemeye ve potansiyel saldırı hedeflerini önermeye odaklanıyor.
İlk kampanyalar İtalya, Polonya, Moldova ve Macaristan’da görüldü ancak daha geniş bir küresel hedeflemenin beklendiği belirtilirken, Zombinder’ın Android 13+ kısıtlamalarını aşmak ve Octo2’yi yüklemek için kullanıldığı belirtiliyor.
Küçük İşletmelerin Gelişmiş Siber Tehditlere Karşı Nasıl Korunacağına Dair Ücretsiz Web Semineri -> Ücretsiz Kayıt
Cihaz Ele Geçirme saldırıları sırasında uzaktan kontrol kararlılığını artırmak ve tespit ve analizden kaçınmak için geliştirilmiş algılama önleme ve analiz önleme teknikleri de dahil olmak üzere çeşitli iyileştirmelerle güncellendi; bu da güvenlik çözümlerinin kötü amaçlı yazılımları tespit etmesini ve engellemesini zorlaştırıyor.
Ayrıca Octo2, uzaktan kontrol oturumlarının kararlılığını iyileştirmek ve saldırganların tehlikeye atılmış cihazlar üzerinde daha güvenilir bir şekilde kontrol sahibi olmasını sağlamak için optimize edildi.
Ayrıca, zayıf ağlarda veri iletimini azaltmak ve bağlantı kararlılığını artırmak için yeni bir ayar da dahil olmak üzere gelişmiş RAT yetenekleriyle güncellendi.
Kötü amaçlı yazılımın anti-analiz ve anti-tespit teknikleri, yerel kod şifre çözme ve dinamik kitaplık yüklemeyi içeren daha karmaşık bir karartma sürecinin uygulanmasıyla güçlendirildi.
Bu durum Octo2’yi tespit ve analize karşı daha dayanıklı hale getirerek güvenlik açısından daha büyük bir tehdit oluşturuyor.
C2 sunucu adlarını dinamik olarak üretmek için Alan Adı Oluşturma Algoritması (DGA) kullanır, bu da takip etmeyi ve engellemeyi zorlaştırır.
Ayrıca, güvenliği artırmak ve veri ele geçirmeyi daha zor hale getirmek için her C2 isteği için benzersiz bir şifreleme anahtarı üretmek amacıyla kriptografik bir tuz kullanır.
Threat Fabric’e göre bu tekniklerin birleşimi, Octo2’yi tespit ve kaldırmaya karşı daha dayanıklı hale getirdiği için mobil bankacılık güvenliği için önemli bir tehdit oluşturuyor.
Octo2 mobil kötü amaçlı yazılım türü, uzaktan erişim, gizleme ve kolay özelleştirme gibi gelişmiş özellikleri nedeniyle bankacılık güvenliğine önemli bir tehdit oluşturuyor.
Selefinin sızdırılan kaynak kodu, yaygın olarak kullanılabilirliğine ve uyarlanabilirliğine katkıda bulunmuştur.
Octo2, cihaz üzerinde görünmez bir şekilde dolandırıcılık gerçekleştirerek ve hassas verileri ele geçirerek mobil bankacılık kullanıcılarını dünya çapında hedef alabilir.
Bu riski azaltmak için kullanıcıların ve finans kuruluşlarının güçlü güvenlik önlemlerine öncelik vermesi ve gelişen tehditlere karşı tetikte olması gerekiyor.
Herhangi birini analiz edinSuspicious Links Using ANY.RUN's New Safe Browsing Tool: Try It for Free