Octo2 バンキング型トロイの木馬
サイバーセキュリティの専門家は、Octo として知られる Android バンキング型トロイの木馬の更新された亜種を特定しました。この亜種は、デバイスの乗っ取り (DTO) を容易にし、不正な取引を可能にする高度な機能が追加されました。
作成者らによって「Octo2」と名付けられたこの新バージョンは、イタリア、ポーランド、モルドバ、ハンガリーを含むヨーロッパ諸国で誤解を招くキャンペーンを通じて配布された。開発者らは、デバイス乗っ取り攻撃を成功させるために必要なリモート操作の安定性を向上させることに取り組んできた。
目次
Octo モバイル マルウェアの出現
Octo は、2022 年初頭に研究者によって最初に特定され、Architect や goodluck というオンライン エイリアスで知られる脅威アクターによるものとされています。これは、2016 年に初めて検出され、その後 2021 年にCoperと呼ばれる別の亜種を生み出したExobotマルウェアの「直系の子孫」であると評価されています。
Exobot は、バンキング型トロイの木馬Marche rのソースコードから開発され、2018 年まで活発に維持され、主にトルコ、フランス、ドイツ、オーストラリア、タイ、日本でさまざまなキャンペーンを通じて金融機関を標的にしていました。その後、ExobotCompact と呼ばれる簡素化されたバージョンが、ダーク ウェブ フォーラムで「android」と呼ばれる脅威アクターによってリリースされました。
Octo2バンキング型トロイの木馬を運ぶアプリケーション
Octo2 に関連する有害なアプリケーションには、Europe Enterprise (com.xsusb_restore3)、Google Chrome (com.havirtual06numberresources)、NordVPN (com.handedfastee5) などがあります。
マルウェアを配布するこれらの不正な Android アプリケーションは、Zombinder と呼ばれる既知の APK バインディング サービスを使用します。このサービスにより、正規のアプリケーションがトロイの木馬化され、「必要なプラグイン」をインストールするように見せかけて、実際のマルウェア (この場合は Octo2) をダウンロードできるようになります。
現時点では、Octo2 が Google Play ストアを通じて拡散されていることを示す証拠はありません。これは、ユーザーが信頼できないソースからこれらのアプリケーションをダウンロードしているか、ソーシャル エンジニアリングの戦術によって騙されてインストールしているかのいずれかであることを示しています。
オリジナルの Octo マルウェアのソース コードはすでに漏洩しており、さまざまな脅威アクターが容易に入手できる状態ですが、Octo2 では、さらに強力なリモート アクセス機能と高度な難読化技術によってこの基盤が強化されています。
Octo2は強化された脅威能力を備えている
Team Cymru によると、もう 1 つの重要な進展は、Octo がマルウェア・アズ・ア・サービス (MaaS) モデルに進化したことだ。この変化により、開発者は情報窃盗を企むサイバー犯罪者にマルウェアを提供することで利益を得ることができる。
Octo の所有者は、アップデートの宣伝で、Octo2 を Octo1 の既存ユーザーに早期アクセス オプション付きで同じ価格で提供することを発表しました。情報セキュリティ研究者は、これまで Octo1 を使用していたユーザーが Octo2 に移行し、世界的な脅威の状況における Octo2 の存在感が高まると予想しています。
Octo2 の主な機能強化の 1 つは、コマンド アンド コントロール (C2) サーバー名を生成するためのドメイン生成アルゴリズム (DGA) の実装と、全体的な安定性および分析防止技術の改善です。
DGA ベースの C2 システムを利用すると大きな利点が得られ、脅威アクターは新しい C2 サーバーに迅速に切り替えることができるため、ドメイン名ブロックリストの有効性が低下し、潜在的な削除の試みに対する耐性が強化されます。
この亜種は、デバイス上で検知されずに詐欺行為を実行し、機密情報を取得する機能と、さまざまな脅威アクター向けに簡単にカスタマイズできる機能を備えているため、世界中のモバイル バンキング ユーザーのリスクが高まります。
