Trojan Octo Banking Baru Menyebar melalui Aplikasi Palsu di Google Play Store

Sejumlah aplikasi Android nakal yang telah diinstal secara kumulatif dari Google Play Store resmi lebih dari 50.000 kali digunakan untuk menargetkan bank dan entitas keuangan lainnya.

Trojan perbankan sewaan, yang dijuluki Octo, dikatakan sebagai rebranding dari malware Android lain yang disebut ExobotCompact, yang, pada gilirannya, adalah pengganti “lite” untuk pendahulunya Exobot, perusahaan keamanan seluler Belanda ThreatFabric mengatakan dalam sebuah laporan yang dibagikan dengan The Hacker News.

Exobot juga kemungkinan dikatakan telah membuka jalan bagi keturunan terpisah yang disebut Coper, yang awalnya ditemukan menargetkan pengguna Kolombia sekitar Juli 2021, dengan infeksi baru yang menargetkan pengguna Android di berbagai Negara Eropa.

“Aplikasi malware Coper bersifat modular dalam desain dan mencakup metode infeksi multi-tahap dan banyak taktik defensif untuk bertahan dari upaya penghapusan,” kata cyble dalam analisis malware bulan lalu.

Seperti trojan perbankan Android lainnya, aplikasi nakal tidak lebih dari droppers, yang fungsi utamanya adalah untuk menyebarkan payload berbahaya yang tertanam di dalamnya. Daftar dropper Octo dan Coper yang digunakan oleh beberapa aktor ancaman ada di bawah ini –

  • Pocket Screencaster (com.moh.screen)
  • Pembersih Cepat 2021 (vizeeva.fast.cleaner)
  • Play Store (com.restthe71)
  • Keamanan Postbank (com.carbuildz)
  • Pocket Screencaster (com.cutthousandjs)
  • Bawag PSK Security (com.frontwonder2), dan
  • Instal aplikasi Play Store (com.theseeye5)

Aplikasi ini, yang menyamar sebagai penginstal aplikasi Play Store, perekaman layar, dan aplikasi keuangan, “didukung oleh skema distribusi inventif,” mendistribusikannya melalui Google Play store dan melalui halaman arahan palsu yang konon mengingatkan pengguna untuk mengunduh pembaruan browser.

Droppers, setelah diinstal, bertindak sebagai saluran untuk meluncurkan trojan, tetapi tidak sebelum meminta pengguna untuk mengaktifkan Layanan Aksesibilitas yang memungkinkannya luasnya kemampuan untuk mengeksfiltrasi informasi sensitif dari ponsel yang dikompromikan.

Octo, versi revisi dari ExobotCompact, juga dilengkapi untuk melakukan penipuan pada perangkat dengan mendapatkan remote control atas perangkat dengan mengambil keuntungan dari izin aksesibilitas serta MediaProjection API Android untuk menangkap konten layar secara real-time. Tujuan utamanya, kata ThreatFabric, adalah untuk memicu “inisiasi otomatis transaksi penipuan dan otorisasinya tanpa upaya manual dari operator, sehingga memungkinkan penipuan dalam skala yang jauh lebih besar.”

Fitur penting lainnya dari Octo termasuk penekanan tombol pencatatan, melakukan serangan overlay pada aplikasi perbankan untuk menangkap kredensial, memanen informasi kontak, dan langkah-langkah ketekunan untuk mencegah penghapusan instalasi dan menghindari mesin antivirus. “Rebranding ke Octo menghapus hubungan sebelumnya dengan kebocoran kode sumber Exobot, mengundang beberapa aktor ancaman yang mencari kesempatan untuk menyewa trojan yang diduga baru dan asli,” kata ThreatFabric.

“Kemampuannya berisiko tidak hanya secara eksplisit menargetkan aplikasi yang ditargetkan oleh serangan overlay, tetapi aplikasi apa pun yang diinstal pada perangkat yang terinfeksi karena ExobotCompact / Octo dapat membaca konten dari aplikasi apa pun yang ditampilkan di layar dan memberi aktor informasi yang cukup untuk berinteraksi dari jarak jauh dengannya dan melakukan penipuan di perangkat (ODF).”

Temuan ini semakin dekat setelah penemuan bankbot Android yang berbeda bernama GodFather – berbagi tumpang tindih dengan trojan perbankan Cereberus dan Medusa – yang telah diamati menargetkan pengguna perbankan di Eropa dengan kedok aplikasi Pengaturan default untuk mentransfer dana dan mencuri pesan SMS, antara lain.

Selain itu, analisis baru yang diterbitkan oleh AppCensus menemukan 11 aplikasi dengan lebih dari 46 juta instalasi yang ditanamkan dengan SDK pihak ketiga bernama Coelib yang memungkinkan untuk menangkap konten clipboard, data GPS, alamat email, nomor telepon, dan bahkan alamat MAC router modem pengguna dan SSID jaringan.

Sumber: https://thehackernews.com/2022/04/new-octo-banking-trojan-spreading-via.html