新的Octo银行木马通过谷歌Play Store上的假应用程序传播

从官方 Google Play 商店累计安装超过 50,000 次的许多流氓 Android 应用程序正被用于针对银行和其他金融实体。

荷兰移动安全公司 ThreatFabric在与 The Hacker 分享的一份报告中表示，这款名为Octo的租赁银行木马据说是另一个名为 ExobotCompact 的安卓恶意软件的更名，而后者又是其 Exobot 前身的“精简版”替代品消息。

据说 Exobot 也可能为名为 Coper 的独立后裔铺平了道路，该后裔最初是在 2021 年 7 月左右发现针对哥伦比亚用户的，新的感染针对不同欧洲国家的 Android 用户。

网络安全公司 Cyble在上个月对恶意软件的分析中指出：“Coper 恶意软件应用程序在设计上是模块化的，包括多阶段感染方法和许多防御策略，以在移除尝试中幸存下来。”

与其他 Android 银行木马一样，流氓应用程序只不过是 dropper，其主要功能是部署嵌入其中的恶意负载。多个威胁参与者使用的 Octo 和 Coper 滴管列表如下 -

Pocket Screencaster (com.moh.screen)Fast Cleaner 2021 (vizeeva.fast.cleaner)Play Store (com.restthe71)Postbank Security (com.carbuildz)Pocket Screencaster (com.cutthousandjs)BAWAG PSK Security (com.frontwonder2), andPlay Store app install (com.theseeye5)

这些应用程序伪装成 Play 商店应用程序安装程序、屏幕录制和金融应用程序，“由创新的分发方案提供支持”，通过 Google Play 商店和据称提醒用户下载浏览器更新的欺诈性登录页面分发它们。

滴管一旦安装，就会充当启动木马的渠道，但在要求用户启用可访问性服务之前，该服务允许其广泛的功能从受感染的手机中窃取敏感信息。

Octo 是 ExobotCompact 的修订版，它还可以通过利用可访问权限以及 Android 的MediaProjection API实时捕获屏幕内容来远程控制设备，从而执行设备欺诈。

ThreatFabric 表示，最终目标是触发“欺诈交易的自动启动及其授权，无需运营商手动操作，从而允许更大规模的欺诈。”

Octo 的其他显着功能包括记录击键、对银行应用程序执行覆盖攻击以捕获凭据、收集联系信息以及防止卸载和逃避防病毒引擎的持久性措施。

ThreatFabric 指出：“更名为 Octo 消除了以前与 Exobot 源代码泄漏的联系，邀请多个威胁参与者寻找机会租用据称是新的和原始的木马。”

“它的功能不仅使被覆盖攻击的明确目标应用程序面临风险，而且安装在受感染设备上的任何应用程序（如 ExobotCompact/Octo）都能够读取屏幕上显示的任何应用程序的内容，并为攻击者提供足够的信息远程与之交互并执行设备欺诈 (ODF)。”

在发现一个名为GodFather的独特 Android 银行机器人（与 Cereberus 和 Medusa 银行木马有重叠）之后，调查结果接近尾声——据观察，该机器人以默认设置应用程序为幌子以欧洲的银行用户为目标，以转移资金和窃取短信等。

最重要的是，AppCensus 发布的一项新分析发现，有 11 款安装量超过 4600 万的应用程序植入了名为 Coelib 的第三方 SDK，可以捕获剪贴板内容、GPS 数据、电子邮件地址、电话号码和甚至用户的调制解调器路由器 MAC 地址和网络 SSID。

原文来自: thehackernews.com