Güvenlik araştırmacıları, Octo adlı yeni bir Android bankacılık kötü amaçlı yazılımı konusunda uyarıyor. Bu Truva atı o kadar karmaşıktır ki, diğer şeylerin yanı sıra, bankacılık işlemlerini meşrulaştırmak için SMS’i yakalar ve kendisini tespit edilmekten gizler.
Android Trojan Octo, şimdi ThreatFabric’teki araştırmacılar tarafından daha ayrıntılı olarak açıklandı. Octo, 2018’den beri oldukça iyi bilinen bir kötü amaçlı yazılım çeşidi olan ExoCompact’a dayanmaktadır. Octo ise henüz çok yeni ve Truva atının kullanıldığı ilk seferler bu yıla ait. ThreatFabric’e göre, Truva Atı’nı vahşi doğada, uzaktan erişim özelliğini kullanarak kurbanlarının akıllı telefonlarında çeşitli eylemler gerçekleştirirken yakaladılar.
Octo’nun öncüllerine kıyasla en önemli yeniliği, tam olarak gelişmiş uzaktan erişim modülüdür; bu, tehdit aktörlerinin, güvenliği ihlal edilmiş Android cihazını uzaktan kontrol ederek sözde cihaz dolandırıcılığı (ODF) gerçekleştirmesine olanak tanır.
Uzaktan erişim, Android’in MediaProjection aracılığıyla canlı bir ekran akış modülü aracılığıyla ve Erişilebilirlik Hizmeti aracılığıyla uzaktan eylemler aracılığıyla etkinleştirilir. Octo, eylemlerini kurbanın görüşünden gizlemek için siyah bir ekran kaplaması kullanır. Truva Atı, ekran parlaklığını sıfıra ayarlar ve “Kesinti Yok” modunu etkinleştirerek tüm bildirimleri devre dışı bırakır. Kurbana akıllı telefonu etkin değilmiş gibi görünür, ancak gerçekte pek çok şey fark edilmeyebilir.
Uzaktan erişimli keylogger
Kötü amaçlı yazılım, cihazın kapalı gibi görünmesini sağlayarak, kurbanın bilgisi olmadan çeşitli görevleri gerçekleştirebilir. Bu görevler, hareketler, metin yazma, panoyu değiştirme, veri yapıştırma ve yukarı ve aşağı kaydırma ve veri aktarmayı içerir. Octo, uzaktan erişim sistemine ek olarak güçlü bir keylogger’a da sahiptir. Bu nedenle, girilen PIN’ler ve şifreler son derece savunmasızdır.
Octo, en önemlileri olan kapsamlı bir komut listesini destekler:
- Belirli uygulamalardan gelen push bildirimlerini engelleyin
- SMS müdahalesini etkinleştirme
- Sesi devre dışı bırakma ve cihaz ekranını geçici olarak kilitleme
- Belirli bir uygulamayı başlatın
- Uzaktan erişim oturumunu başlat/sonlandır
- Belirli bir URL’yi açın
- Belirli bir telefon numarasına belirli bir metin içeren bir SMS gönderme
“Gerçekler göz önüne alındığında, ExobotCompact’in Android bankacılık truva atı Octo olarak yeniden adlandırıldığı ve sahibi ‘Architect’, namı diğer ‘Goodluc’ tarafından kiralandığı sonucuna vardık. ThreatFabric, bu varyantı ExobotCompact.D olarak izliyor,” diyor Threat Fabric raporunda .
Truva atı Google Play Store üzerinden yayılır. Octo ile enfekte olduğu bilinen son uygulamalar arasında Fast Cleaner adlı bir uygulama var. Uygulama o zamandan beri mağazadan kaldırıldı, ancak o zamana kadar yaklaşık 50.000 indirildi. Uzaktan erişim modüllerine sahip truva atları daha yaygın hale geliyor ve aşağıdakiler gibi sağlam hesap koruma önlemleri alıyor: B. Tehdit aktörü cihazı ve oturum açmış hesapları tamamen kontrol ettiği için iki faktörlü kodlar artık kullanılmamaktadır.