يهدد بعمليات احتيال أكثر تطوراً على Android Android

اكتشف باحثو الأمن السيبراني إصدارًا جديدًا من حصان طروادة المصرفي لنظام Android يسمى Octo والذي يأتي مزودًا بقدرات محسنة لإجراء عمليات الاستيلاء على الأجهزة (DTO) وإجراء معاملات احتيالية.

النسخة الجديدة تحمل الاسم الرمزي أكتوبر2 من قبل مؤلف البرامج الضارة، قالت شركة الأمن الهولندية ThreatFabric في تقرير تمت مشاركته مع The Hacker News، مضيفة أنه تم رصد حملات توزيع البرامج الضارة في دول أوروبية مثل إيطاليا وبولندا ومولدوفا والمجر.

وأضافت الشركة: “اتخذ مطورو البرامج الضارة إجراءات لزيادة استقرار إمكانات الإجراءات عن بعد اللازمة لهجمات الاستيلاء على الأجهزة”. قال.

بعض التطبيقات الضارة التي تحتوي على Octo2 مدرجة أدناه –

• أوروبا المؤسسة (com.xsusb_restore3)
• جوجل كروم (com.havirtual06numberresources)
• نورد في بي إن (com.handedfastee5)

تم الإبلاغ عن Octo لأول مرة من قبل الشركة في أوائل عام 2022، ووصفته بأنه عمل ممثل تهديد يستخدم الأسماء المستعارة عبر الإنترنت Architect وGoodluck. تم تقييمه على أنه “سليل مباشر” للبرمجيات الخبيثة Exobot التي تم اكتشافها في الأصل في عام 2016، والتي أنتجت أيضًا متغيرًا آخر أطلق عليه اسم Coper في عام 2021.

“استنادًا إلى الكود المصدري لبرنامج Trojan Marcher المصرفي، تم الحفاظ على Exobot حتى عام 2018 لاستهداف المؤسسات المالية من خلال مجموعة متنوعة من الحملات التي تركز على تركيا وفرنسا وألمانيا بالإضافة إلى أستراليا وتايلاند واليابان”، حسبما أشارت ThreatFabric في ذلك الوقت.

“وبعد ذلك، تم تقديم نسخة “خفيفة” منه، أطلق عليها مؤلفها اسم ExobotCompact، وهو ممثل التهديد المعروف باسم “android” في منتديات الويب المظلم.”

ويقال إن ظهور Octo2 كان مدفوعًا في المقام الأول بتسريب كود مصدر Octo في وقت سابق من هذا العام، مما دفع جهات التهديد الأخرى إلى إنتاج أنواع متعددة من البرامج الضارة.

هناك تطور رئيسي آخر يتمثل في انتقال Octo إلى عملية البرامج الضارة كخدمة (MaaS)، وفقًا لفريق Team Cymru، مما يمكّن المطور من تحقيق الدخل من البرامج الضارة من خلال تقديمها لمجرمي الإنترنت الذين يتطلعون إلى تنفيذ عمليات سرقة المعلومات.

وقالت ThreatFabric: “عند الترويج للتحديث، أعلن مالك Octo أن Octo2 سيكون متاحًا لمستخدمي Octo1 بنفس السعر مع إمكانية الوصول المبكر”. “يمكننا أن نتوقع أن الجهات الفاعلة التي كانت تشغل Octo1 سوف تتحول إلى Octo2، وبالتالي تصل إلى مشهد التهديد العالمي.”

أحد التحسينات المهمة على Octo2 هو تقديم خوارزمية إنشاء المجال (DGA) لإنشاء اسم خادم القيادة والتحكم (C2)، بالإضافة إلى تحسين الاستقرار العام وتقنيات مكافحة التحليل.

يتمتع استخدام نظام C2 القائم على DGA بميزة متأصلة تتمثل في أنه يسمح لممثل التهديد بالانتقال بسهولة إلى خوادم C2 جديدة، مما يجعل قوائم حظر أسماء النطاقات غير فعالة ويحسن المرونة ضد محاولات الإزالة المحتملة.

يتم إنشاء تطبيقات Android المارقة التي توزع البرامج الضارة باستخدام خدمة ربط APK معروفة تسمى Zombinder، مما يجعل من الممكن اختراق التطبيقات الشرعية بحيث يمكنها استرداد البرامج الضارة الفعلية (في هذه الحالة، Octo2) تحت ستار تثبيت “مكون إضافي ضروري”. “

لا يوجد حاليًا أي دليل يشير إلى أن Octo2 يتم نشره عبر متجر Google Play، مما يشير إلى أنه من المحتمل أن يقوم المستخدمون إما بتنزيله من مصادر غير موثوقة أو يتم خداعهم لتثبيته عبر الهندسة الاجتماعية.

وأكد متحدث باسم جوجل لصحيفة The Hacker News أن الشركة لم تجد أي دليل على وجود البرامج الضارة على واجهة المتجر الرسمية، وأن Google Play Protect يحمي المستخدمين تلقائيًا من الإصدارات المعروفة من البرامج الضارة.

وقالت ThreatFabric: “مع تسرب الكود المصدري لبرنامج Octo الخبيث الأصلي بالفعل وسهولة الوصول إليه من قبل العديد من الجهات الفاعلة في مجال التهديد، يعتمد Octo2 على هذا الأساس مع إمكانات وصول عن بعد أكثر قوة وتقنيات تشويش متطورة”.

“إن قدرة هذا البديل على تنفيذ عمليات احتيال بشكل غير مرئي على الجهاز واعتراض البيانات الحساسة، إلى جانب سهولة تخصيصه من قبل جهات تهديد مختلفة، تزيد من المخاطر بالنسبة لمستخدمي الخدمات المصرفية عبر الهاتف المحمول على مستوى العالم.”

(تم تحديث القصة بعد نشرها في 4 أكتوبر 2024 لتتضمن ردًا من جوجل.)