Peneliti keamanan siber telah menemukan versi baru trojan perbankan Android bernama Octo yang dilengkapi dengan kemampuan lebih baik untuk melakukan pengambilalihan perangkat (DTO) dan melakukan transaksi penipuan.
Versi baru telah diberi nama kode Okto2 oleh pembuat malware, perusahaan keamanan Belanda ThreatFabric mengatakan dalam sebuah laporan yang dibagikan kepada The Hacker News, seraya menambahkan kampanye yang mendistribusikan malware tersebut telah terlihat di negara-negara Eropa seperti Italia, Polandia, Moldova, dan Hungaria.
“Pengembang malware mengambil tindakan untuk meningkatkan stabilitas kemampuan tindakan jarak jauh yang diperlukan untuk serangan Device Takeover,” kata perusahaan itu.
Beberapa aplikasi berbahaya yang mengandung Octo2 tercantum di bawah ini –
- Perusahaan Eropa (com.xsusb_restore3)
- Google Chrome (com.havirtual06numberresources)
- NordVPN (com.handedfastee5)
Octo pertama kali ditandai oleh perusahaan tersebut pada awal tahun 2022, yang menggambarkannya sebagai hasil kerja pelaku ancaman yang menggunakan alias daring Architect dan goodluck. Octo dinilai sebagai “keturunan langsung” dari malware Exobot yang awalnya terdeteksi pada tahun 2016, yang juga memunculkan varian lain yang dijuluki Coper pada tahun 2021.
“Berdasarkan kode sumber Trojan perbankan Marcher, Exobot dipertahankan hingga 2018 dengan menargetkan lembaga keuangan dengan berbagai kampanye yang difokuskan pada Turki, Prancis, dan Jerman serta Australia, Thailand, dan Jepang,” catat ThreatFabric saat itu.
“Kemudian, versi 'lite'-nya diperkenalkan, diberi nama ExobotCompact oleh pembuatnya, aktor ancaman yang dikenal sebagai 'android' di forum web gelap.”
Munculnya Octo2 disebut-sebut terutama didorong oleh kebocoran kode sumber Octo pada awal tahun ini, yang menyebabkan pelaku ancaman lain memunculkan berbagai varian malware tersebut.
Perkembangan besar lainnya adalah transisi Octo ke operasi malware-sebagai-layanan (MaaS), menurut Tim Cymru, yang memungkinkan pengembang untuk memonetisasi malware dengan menawarkannya kepada penjahat dunia maya yang ingin melakukan operasi pencurian informasi.
“Saat mempromosikan pembaruan tersebut, pemilik Octo mengumumkan bahwa Octo2 akan tersedia bagi pengguna Octo1 dengan harga yang sama dengan akses awal,” kata ThreatFabric. “Kita dapat memperkirakan bahwa pelaku yang mengoperasikan Octo1 akan beralih ke Octo2, sehingga membawanya ke lanskap ancaman global.”
Salah satu peningkatan signifikan pada Octo2 adalah diperkenalkannya Algoritma Pembuatan Domain (DGA) untuk membuat nama server perintah-dan-kontrol (C2), serta meningkatkan stabilitas keseluruhan dan teknik anti-analisis.
Penggunaan sistem C2 berbasis DGA memiliki keuntungan inheren yaitu memungkinkan pelaku ancaman untuk dengan mudah beralih ke server C2 baru, membuat daftar blokir nama domain tidak efektif dan meningkatkan ketahanan terhadap potensi upaya penghapusan.
Aplikasi Android jahat yang menyebarkan malware tersebut dibuat menggunakan layanan pengikatan APK yang dikenal bernama Zombinder, yang memungkinkan aplikasi sah di-trojan sedemikian rupa sehingga mengambil malware sebenarnya (dalam kasus ini, Octo2) dengan kedok memasang “plugin yang diperlukan”.
Saat ini tidak ada bukti yang menunjukkan bahwa Octo2 disebarkan melalui Google Play Store, yang menunjukkan bahwa pengguna kemungkinan mengunduhnya dari sumber yang tidak tepercaya atau ditipu agar menginstalnya melalui rekayasa sosial.
“Dengan kode sumber malware Octo asli yang sudah bocor dan mudah diakses oleh berbagai pelaku ancaman, Octo2 dibangun di atas fondasi ini dengan kemampuan akses jarak jauh yang lebih tangguh dan teknik pengaburan yang canggih,” kata ThreatFabric.
“Kemampuan varian ini untuk melakukan penipuan pada perangkat secara diam-diam dan menyadap data sensitif, ditambah dengan kemudahan penyesuaiannya oleh berbagai pelaku ancaman, meningkatkan risiko bagi pengguna perbankan seluler di seluruh dunia.”