Opasni bankarski trojanac u aplikacijama u Google Play prodavnici

Mobilni telefoni, 11.04.2022, 10:30 AM

Istraživači iz firme ThreatFabric otkrili su novog trojanca nazvanog Octo u brojnim Android aplikacijama u Google Play prodavnici koje su instalirane ukupno više od 50.000 puta.

Octo je bankarski trojanac koji je zasnovan na malveru ExoCompact. Sredinom 2021. primećen je novi malver za Android koji su proizvođači antivirusnog softvera nazvali “Coper”. Međutim, analitičari ThreatFabrica su smatrali da je novi malver “direktni potomak prilično poznate porodice malvera Exobot”.

Exobot je prvi put primećen 2016. godine, a njegov kod je zasnovan na izvornom kodu bankarskog trojanca Marcher. Exobot je do 2018. godine ciljao banke u Turskoj, Francuskoj, Nemačkoj, Australiji, na Tajlandu i u Japanu. Nakon toga se pojavila njegova “lakša” verzija koju je njen autor poznat na forumima mračnog veba kao “android” nazvao ExoCompact.

Analitičari ThreatFabrica uspeli su da povežu ExoCompact i novi malver koji je nazvan ExobotCompact.B. Najnovija verzija koja se pojavila u novembru prošle godine nazvana je ExobotCompact.D.

Istraživači ThreatFabrica su 23. januara primetili objavu na jednom forumu mračnog veba u kojoj je član foruma tražio malver Octo. Dalja analiza je otkrila direktnu vezu između malvera Octo i ExobotCompacta - ExobotCompact je ažuriran, dodato mu je nekoliko funkacija i rebrendiran je pod novim nazivom Octo, kao bankarski trojanac koji cilja banke širom sveta.

Veliko ažuriranje ExobotCompacta donelo je mogućnost daljinskog pristupa, i omogućilo kriminalcima prevare na uređaju (on-device fraud, ODF), najopasniji i najneupadljiviji vid prevare. Mehanizmi za zaštitu od ovakve prevare su slabo efikasni zbog značajno manjeg broja indikatora prevare u poređenju sa drugim vrstama prevara.

Da bi dobili daljinsku kontrolu nad uređajem, sajber kriminalcima je potreban striming ekrana da bi videli sadržaj ekrana i neki mehanizam za izvršavanje radnji na uređaju. Da bi uspostavio daljinski pristup zaraženom uređaju, ExobotCompact.D se oslanja na servise koje su deo Android OS - MediaProjection za strimovanje ekrana i AccessibilityService za daljinsko obavljanje radnji. Strimovanje ekrana sa MediaProjection je zasnovano na slanju snimaka ekrana velikom brzinom (1 u sekundi), što pruža operateru malvera realnu sliku onoga što se dešava na udaljenom uređaju.

Čineći da uređaj izgleda kao isključen malver može da obavlja različite zadatke a da žrtva to ne primeti. On prekriva ekran crnim ekranom, podešavajući osvetljenost ekrana na nulu i onemogućava sva obaveštenja. Tako malver može da oponaša dodire po ekranu, pokrete, pisanje, kopiranje podataka i pomeranje nagore i nadole. Octo može da nadgleda i snima sve što žrtva radi na zaraženom Android uređaju. Ovo uključuje unos PIN-ova, otvaranje veb sajtova, klikove i drugo.

Malver može da blokira obaveštenja iz određenih aplikacija, presreće SMS poruke, isključi zvuk i privremeno zaključa uređaj, pokreće aplikacije, pokreće i zaustavlja sesije daljinskog pristupa, ažurira listu severa za komandu i kontrolu, otvara URL-ove, šalje SMS sa određenim tekstom na određeni broj telefona itd.

Octo se prodaje na forumima, kao što je ruski hakerski forum XSS, a prodaje ga neko ko se krije iza pseudonima “Architect” ili “goodluck”. Iako je većina objava na XSS-u na ruskom, komunikacija o malveru Octo na forumu u kojoj učestvuju prodavac i potencijalni pretplatnici je na engleskom.

Zbog velike sličnosti sa ExoCompactom, uključujući i funkciju onemogućavanja Google Protecta i sistem zaštite od reverznog inženjeringa, istraživači veruju da je “Architect” autor ili vlasnik izvornog koda ExoCompacta. ExoCompact takođe ima modul za daljinski pristup, iako jednostavniji, a pruža i opcije odlaganja izvršenja komande i ima sličan admin panel kao Octo.

“Dakle, imajući u vidu ove činjenice, zaključujemo da je ExobotCompact rebrendiran u Octo Android bankovni trojanac i da ga iznajmljuje njegov vlasnik “Architect”, takođe poznat kao “goodluck”. ThreatFabric ovu varijantu prati kao ExobotCompact.D”, navodi Threat Fabric u svom izveštaju.

Među aplikacijama u kojima je sakriven Octo a koje su se našle u Google Play prodavnici je aplikacija pod nazivom “Fast Cleaner” koja je imala 50.000 instalacija do februara 2022., kada je primećena i uklonjena iz prodavnice.

Drugi način na koji se širio Octo su veb sajtovi sa lažnim obaveštenjima o ažuriranju pregledača ili lažna upozorenja o ažuriranju aplikacije Play Store.

Aplikacije u kojima je otkriven malver Octo su Pocket Screencaster, Fast Cleaner 2021, Play Store, Postbank Security, Pocket Screencaster, BAWAG PSK Security i Play Store app install .

Trojanci koji imaju module za daljinski pristup postaju sve češći, čineći robusne korake zaštite naloga, kao što su dvofaktorski kodovi, neefikasnim pošto napadači u potpunosti kontrolišu uređaje i naloge. Nakon infekcije nijedna informacija nije bezbedna, i nijedna mera zaštite delotvorna.

Da bi se zaštitili od ovakvih malvera korisnici treba da budu oprezni, a broj aplikacija instaliranih na pametnim telefonima drže na minimumu, kao i da redovno proveravaju da li je Play Protect omogućen.