
นักวิจัยด้านความปลอดภัยทางไซเบอร์ พบมัลแวร์ตัวใหม่ที่เกี่ยวข้องกับแอปธนาคารบนระบบ Android ที่มีชื่อว่า Octo ซึ่งถูกพัฒนาให้มีความสามารถในการเข้าควบคุมอุปกรณ์ (Device Takeover หรือ DTO) และการทำธุรกรรมที่เป็นการหลอกลวงได้ดียิ่งขึ้น
บริษัทด้านความปลอดภัยของเนเธอร์แลนด์ ThreatFabric ระบุว่า ผู้พัฒนาได้ตั้งชื่อ หรือโค้ดเนมมัลแวร์ตัวใหม่โดยเรียกว่า "Octo2" และเริ่มพบเห็นการแพร่กระจายมัลแวร์นี้ในประเทศยุโรป เช่น อิตาลี, โปแลนด์, โมลโดวา และฮังการี
บริษัทระบุว่า "ผู้พัฒนามัลแวร์ได้ดำเนินการเพิ่มความเสถียรของความสามารถในการควบคุมจากระยะไกลที่จำเป็นสำหรับการโจมตีแบบเข้าควบคุมอุปกรณ์"
แอปพลิเคชันอันตรายบางแอปที่มีมัลแวร์ Octo2 อยู่ ได้แก่
- Europe Enterprise (com.xsusb_restore3)
- Google Chrome (com.havirtual06numberresources)
- NordVPN (com.handedfastee5)
บริษัท ThreatFabric ได้พบมัลแวร์ "Octo" เป็นครั้งแรกในช่วงต้นปี 2022 โดยระบุว่าเป็นผลงานของผู้โจมตีที่ใช้นามแฝงว่า Architect และ goodluck โดยมันถูกประเมินว่าเป็น "ทายาทโดยตรง" (direct descendant) ของมัลแวร์ Exobot ที่ตรวจพบครั้งแรกในปี 2016 และได้พัฒนาเป็นมัลแวร์ Coper ในปี 2021
ThreatFabric ระบุในขณะนั้นว่า "อ้างอิงจากซอร์สโค้ดของ banking Trojan Marcher, Exobot ได้รับการพัฒนาจนถึงปี 2018 โดยมีเป้าหมายเป็นสถาบันการเงิน ด้วยแคมเปญต่าง ๆ ที่มุ่งเน้นไปที่ประเทศตุรกี ฝรั่งเศส และเยอรมนี รวมถึงออสเตรเลีย ไทย และญี่ปุ่นด้วย"
"ต่อมา เวอร์ชัน 'lite' ได้ถูกเปิดตัว โดยมีชื่อว่า ExobotCompact ซึ่งถูกสร้างขึ้นโดยผู้โจมตีที่รู้จักกันในชื่อ 'android' บนฟอรัมใน dark-web"
การเกิดขึ้นของ Octo2 นั้นมีสาเหตุหลักมาจากการรั่วไหลของซอร์สโค้ดของ Octo เมื่อต้นปีที่ผ่านมา ทำให้ผู้โจมตีรายอื่น ๆ ได้สร้างมัลแวร์เวอร์ชันต่าง ๆ ของมัลแวร์ตัวนี้ขึ้นมา

ตามข้อมูลจาก Team Cymru ระบุว่า การพัฒนาที่สำคัญอีกอย่างหนึ่งคือการเปลี่ยนแปลงของ Octo ไปสู่การโจมตีในรูปแบบ (Malware-as-a-Service หรือ MaaS) ซึ่งจะทำให้ผู้พัฒนาสามารถสร้างรายได้จากมัลแวร์โดยการเสนอขายให้กับกลุ่มอาชญากรไซเบอร์ที่ต้องการจะดำเนินการขโมยข้อมูล
ThreatFabric ระบุว่า "เมื่อโปรโมตการอัปเดต ผู้พัฒนา Octo ประกาศว่า Octo2 จะพร้อมใช้งานสำหรับผู้ใช้ Octo1 ในราคาเดิมพร้อมการเข้าถึงก่อนใคร โดยคาดว่าผู้ที่เคยใช้ Octo1 จะเปลี่ยนไปใช้ Octo2 ซึ่งจะทำให้มันกลายเป็นภัยคุกคามระดับโลกได้"
หนึ่งในการพัฒนาที่สำคัญของ Octo2 คือการนำอัลกอริธึมที่สร้างโดเมน (Domain Generation Algorithm หรือ DGA) มาใช้เพื่อสร้างชื่อเซิร์ฟเวอร์ Command-and-Control (C2) รวมถึงการปรับปรุงความเสถียรโดยรวม และเทคนิคป้องกันการวิเคราะห์
การใช้ระบบ C2 ที่ใช้ DGA มีข้อดีคือ จะช่วยให้ผู้โจมตีสามารถเปลี่ยนไปใช้เซิร์ฟเวอร์ C2 ตัวใหม่ได้อย่างง่ายดาย ทำให้การบล็อกโดเมนเนมจะไม่เกิดผล และเพิ่มความสามารถในการต้านทานต่อความพยายามในการยับยั้งที่อาจจะเกิดขึ้นได้
แอปพลิเคชัน Android ที่เป็นอันตรายที่ใช้แพร่กระจายมัลแวร์นี้ ถูกสร้างขึ้นโดยใช้บริการ APK binding ที่รู้จักกันในชื่อ Zombinder ซึ่งทำให้สามารถเปลี่ยนแอปพลิเคชันที่ถูกต้องให้เป็นมัลแวร์ (แบบกรณีเดียวกับ Octo2) ภายใต้การอำพรางว่ากำลังติดตั้ง "ปลั๊กอินที่จำเป็น"
ในปัจจุบันยังไม่มีหลักฐานที่บ่งชี้ว่า Octo2 ถูกแพร่กระจายผ่าน Google Play Store ซึ่งแสดงว่าผู้ใช้อาจดาวน์โหลดมาจากแหล่งที่ไม่น่าเชื่อถือ หรือถูกหลอกให้ติดตั้งผ่านวิธีการ social engineering
ThreatFabric ระบุว่า "ด้วยซอร์สโค้ดต้นฉบับของมัลแวร์ Octo ที่รั่วไหล และเข้าถึงได้ง่ายสำหรับผู้โจมตีหลายอื่น ทำให้ Octo2 ถูกสร้างขึ้นบนพื้นฐานเดิม โดยมีความสามารถในการเข้าถึงจากระยะไกลที่แข็งแกร่งขึ้น และเทคนิคการอำพรางตัวที่ซับซ้อนมากยิ่งขึ้น"
"ความสามารถของเวอร์ชันนี้จะทำการโจมตีบนอุปกรณ์ของผู้ใช้โดยการหลอกลวงผู้ใช้โดยไม่รู้ตัว และดักจับขโมยข้อมูลที่สำคัญโดยไม่เป็นที่สังเกต ประกอบกับความง่ายในการปรับแต่งโดยผู้โจมตีรายอื่น ๆ ทำให้ผู้ใช้แอปธนาคารบนมือถือทั่วโลกอาจต้องเผชิญกับความเสี่ยงที่สูงขึ้น"
ที่มา : https://thehackernews.com/2024/09/new-octo2-android-banking-trojan.html

You must be logged in to post a comment.