Octo2 kötü amaçlı yazılımı, NordVPN ve Google Chrome gibi popüler uygulamalar kılığına girerek Android cihazlarını hedefliyor. Bu gelişmiş trojan, tespit edilmekten kaçınmak, kimlik bilgilerini çalmak ve virüslü cihazlara uzaktan erişim sağlamak için karmaşık teknikler kullanır.
DomainTools’taki siber güvenlik araştırmacıları, kötü şöhretli Octo kötü amaçlı yazılım ailesinin yeni sürümü olan Octo2 hakkındaki yeni araştırmalarını yayınladı. Octo2, Android mobil cihazları hedef alıyor ve etkinliğine dayanarak araştırmacılar, yakında küresel çaptaki kullanıcıları hedefleyeceğine inanıyor.
DomainTools Çözüm Mühendisi Steve Behm’e göre Octo2, siber güvenlik tehditlerinde büyük bir değişikliği temsil ediyor. Üretken Octo (ExobotCompact) ailesinin bu güncellenmiş versiyonu, geliştirilmiş özellikleri, öncülünün dünya çapında benimsenmesi ve agresif dağıtım taktikleri nedeniyle hızla yayılıyor.
Octo2, zorlu ağ koşullarında bile güvenilir iletişim ve virüslü cihazlar üzerinde kontrol sağlayan gelişmiş uzaktan erişim trojan yeteneklerine sahiptir. Üstelik gelişmiş Anti-Analiz ve Anti-Algılama teknikleri, güvenlik analizini ve tespitini engelleyerek tehdidin tanımlanmasını ve etkisiz hale getirilmesini zorlaştırabilir.
Ayrıca, dinamik komuta ve kontrol (C2) sunucu adresleri oluşturmak için DGA Tabanlı C2 sunucu oluşturma algoritmasının (DGA) kullanılması, bir karmaşıklık katmanı ekleyerek güvenlik sistemlerinin iletişimi izlemesini ve kesintiye uğratmasını zorlaştırır.
DomainTool şöyle diyor: “Sonunda orijinal 9 alan adını ve 7 TLD’yi, ilk kez 22 Ağustos 2024’ten 4 Ekim 2024’e kadar görülen 269 alan adı ve 12 TLD’ye genişletmeyi başardık.” blog yazısı 10 Ekim 2024’te yayınlanmadan önce Hackread.com ile paylaşıldı.
Şu anda Avrupa’yı hedefliyoruz
Octo2’nin erken örnekleri İtalya, Polonya, Moldova ve Macaristan dahil olmak üzere birçok Avrupa ülkesinde gözlemlendi. Ancak orijinal Octo’nun dünya çapındaki erişimi ve Octo2’deki gelişmeler göz önüne alındığında, dağıtımının hızla artması bekleniyor.
Saldırı Düzeni – VPN ve Tarayıcı kılığına girmiş
Kötü amaçlı yazılım, şüphelenmeyen kullanıcıları aldatmak için genellikle kendisini Google Chrome, NordVPN veya “Enterprise Europe Network” gibi meşru uygulamalar olarak gizler. Adı verilen bir damlalık kullanır Zombinder Kötü amaçlı yükü dağıtmak için kullanıcıları görünüşte zararsız bir eklenti olan aslında Octo2’yi yüklemeye yönlendiriyor.
Bilginiz olsun diye söylüyorum, Zombinder, 2022’de dark web’de aktif olarak satılan başka bir Android kötü amaçlı yazılımıdır. Geliştiricileri ayrıca bir Windows sürümü de sundu. O sırada Zombinder, kötü şöhretli şeyleri dağıtırken bulundu. Xenomorph bankacılık zararlı yazılımıVidMate uygulaması olarak gizlenmiş.
Bir cihaza virüs bulaştığında Octo2, mobil cihazlara uzaktan erişime, anlık bildirimlere müdahale edilmesine, kimlik bilgilerinin toplanmasına ve yetkisiz oturum açma ve erişime izin vermek gibi yetkisiz eylemlerin gerçekleştirilmesine olanak tanır. Conficker solucanı 2008’de keşfedildi Kötü amaçlı yazılım aileleri tarafından kullanılan DGA’nın en eski örneklerinden biridir ve şu ana kadar Zeus ve Dyre dahil 50 kötü amaçlı yazılım ailesinin DGA alanlarını kullandığı tespit edilmiştir.
Etki Alanı Oluşturma Algoritmalarının Kötüye Kullanılması
Octo2’nin DGA (Etki Alanı Oluşturma Algoritmaları – Farklı) kullanımı Kayıtlı Etki Alanı Oluşturma Algoritmaları – RDGA’lar) C2 sunucu adresini oluşturmak önemli bir gelişmedir. Bu teknik, kötü amaçlı yazılımın iletişim uç noktalarını sürekli olarak değiştirmesine olanak tanıyarak, onu yayından kaldırma ve tespit etme çabalarına karşı daha dayanıklı hale getirir. Araştırmacılar bu alanları oluşturmak için kullanılan kalıpları belirleyebilse de C2 altyapısının dinamik doğası büyük bir tehdit oluşturmaktadır.
Etki Alanı Araçları araştırmacıları, kullanıcıları Octo2 kötü amaçlı yazılımlarına karşı dikkatli olmaları ve üçüncü taraf sitelerden uygulama veya yazılım indirmekten kaçınmaları konusunda uyarıyor. İşletmeler için, tehdit istihbaratı önemlidir. Buna, korumalı alana alma, olağandışı etkinliklere karşı DNS trafiğini izleme ve virüslü cihazlardaki kötü amaçlı davranışları tespit etmek için uç nokta güvenlik çözümlerinin kullanılması gibi gelişmiş algılama araçları dahildir. Düzenli DNS trafiği izleme, DGA tabanlı kötü amaçlı yazılımların tespit edilmesine de yardımcı olabilir.
İLGİLİ KONULAR
- Android Kötü Amaçlı Yazılım Ajina.Banker Telegram Aracılığıyla 2FA Kodlarını Çaldı
- BingoMod Android Kötü Amaçlı Yazılımı Güvenlik Uygulaması Gibi Görünüyor, Verileri Siliyor
- Kötü Amaçlı Uygulamalar ve Reklamlar Yoluyla Android Kullanıcılarını Hedefleyen SMS Hırsızı
- Kimlik Avı Saldırıları iOS ve Android’deki Avrupalı Banka Kullanıcılarını Hedefliyor
- Telegram Android Güvenlik Açığı “EvilVideo” Kötü Amaçlı Yazılımları Video Olarak Gönderiyor