Siber Suç, Uç Nokta Güvenliği, Dolandırıcılık Yönetimi ve Siber Suç
Android, Avrupa’da NordVPN, Google Chrome Olarak Görünüyor
Prajeet Nair (@prajeetskonuşuyor) •
24 Eylül 2024
Octo Android kötü amaçlı yazılımının yeni bir sürümü Avrupa’da yayılıyor ve NordVPN ve Google Chrome gibi meşru uygulamalar gibi görünüyor. En son yineleme, gelişmiş algılama önleme mekanizmaları ve komuta ve kontrol iletişimi için bir alan adı oluşturma algoritması içeriyor.
Ayrıca bakınız: Forrester Raporu: Dell PowerProtect Siber Kurtarmanın Toplam Ekonomik Etkisi™
ThreatFabric araştırmacıları, popüler uygulamalar kisvesi altında Avrupa ülkelerini hedef alan Octo2 zararlı yazılımını ve ayrıca bölgesel olarak önemli bir uygulama olan Europe Enterprise’ı keşfetti.
Araştırmacılar, güncellenen sürümün daha kararlı ve tespit edilmesinin daha zor olduğunu, bu nedenle kötü amaçlı yazılımın enfekte cihazlarda kalıcılığının arttığını söyledi.
Octo2, ilk olarak 2016’da bir bankacılık Truva Atı olarak tespit edilen ExobotCompact kötü amaçlı yazılım ailesini temel alır. Siber suçlu grupları tarafından küresel olarak bankacılık müşterilerini hedeflemek için kullanılan en yaygın Android kötü amaçlı yazılım ailelerinden biri haline gelmiştir.
Araştırmacılar Octo2’yi ilk olarak İtalya, Polonya, Macaristan ve Moldova’da gözlemlediler. Bilgisayar korsanlarının güvenilir markaları bir örtü olarak kullanmaları, şüphesiz kullanıcıların güvenilir yazılım yüklediklerine inanmaları nedeniyle kötü amaçlı yazılımın etkili bir şekilde yayılmasına yardımcı olur.
Octo2’nin arkasındaki tehdit aktörleri, cihaz ele geçirme saldırıları için önemli bir özellik olan kötü amaçlı yazılımın temel uzaktan erişim işlevselliğini iyileştirmeye odaklandı. Bu saldırılar sırasında veri iletimini azaltmak ve bağlantı kararlılığını iyileştirmek için Octo2 artık şu şekilde bilinen bir ayarı içeriyor: SHIT_QUALITYvirüslü cihazdan C2 sunucusuna gönderilen görüntülerin kalitesini düşüren, yaratıcıları tarafından kullanılan gerçek bir terimdir.
Yapılan geliştirme, kötü amaçlı yazılımın zayıf ağ bağlantıları üzerinden bile güvenilir iletişimi sürdürebilmesini sağlıyor.
Octo2 ayrıca ExobotCompact ailesinin ayırt edici özelliği olan anti-analiz ve anti-tespit yeteneklerini de geliştirir. Octo2’nin kötü amaçlı kodu dinamik olarak yüklenir ve birden fazla koruma katmanıyla şifresi çözülür.
Araştırmacılar, Octo2’nin C2 iletişimi için bir alan adı oluşturma algoritması kullanmasının özel bir yenilik olduğunu söyledi. Bu, kötü amaçlı yazılımın anında yeni alan adları oluşturmasına olanak tanır ve güvenlik ekipleri bilinen C2 sunucularını devre dışı bırakmayı başarsa bile saldırganların enfekte olmuş cihazların kontrolünü elinde tutabilmesini sağlar. Algoritmanın bir sınırlaması, araştırmacılar bunu anladığında, antivirüs satıcılarının gelecekteki alan adlarını tahmin edebilmesi ve bunları proaktif olarak engelleyebilmesidir.