Een aantal malafide Android-apps die cumulatief meer dan 50.000 keer zijn geïnstalleerd vanuit de officiële Google Play Store, worden gebruikt om banken en andere financiële entiteiten te targeten.
De trojan voor verhuurbankieren, genaamd oktoberzou een rebrand zijn van een andere Android-malware genaamd ExobotCompact, die op zijn beurt een “lichte” vervanging is voor zijn Exobot-voorganger, het Nederlandse mobiele beveiligingsbedrijf ThreatFabric zei in een rapport gedeeld met The Hacker News.
Van Exobot wordt waarschijnlijk ook gezegd dat het de weg heeft vrijgemaakt voor een aparte afstammeling genaamd Coper, dat was aanvankelijk ontdekt gericht op Colombiaanse gebruikers rond juli 2021, met nieuwere infecties gericht op Android-gebruikers in verschillende Europese landen.
“Coper-malware-apps zijn modulair qua ontwerp en bevatten een infectiemethode met meerdere fasen en veel defensieve tactieken om verwijderingspogingen te overleven”, zegt cyberbeveiligingsbedrijf Cyble. dat is genoteerd in een analyse van de malware vorige maand.
Net als andere trojans voor Android-bankieren, zijn de frauduleuze apps niets meer dan droppers, waarvan de primaire functie is om de kwaadaardige payload te implementeren die erin is ingebed. De lijst met Octo- en Coper-droppers die door meerdere dreigingsactoren worden gebruikt, staat hieronder:
- Pocket Screencaster (com.moh.screen)
- Fast Cleaner 2021 (vizeeva.fast.cleaner)
- Play Store (com.restthe71)
- Postbank Beveiliging (com.carbuildz)
- Pocket Screencaster (com.cutthousandjs)
- BAWAG PSK Beveiliging (com.frontwonder2), en
- Play Store-app installeren (com.theseeye5)
Deze apps, die zich voordoen als Play Store-app-installatieprogramma, schermopname en financiële apps, worden ‘aangedreven door inventieve distributieschema’s’ en verspreiden ze via de Google Play Store en via frauduleuze bestemmingspagina’s die gebruikers zogenaamd waarschuwen om een browserupdate te downloaden.
De droppers, eenmaal geïnstalleerd, fungeren als een kanaal om de trojans te lanceren, maar niet voordat gebruikers worden gevraagd om de toegankelijkheidsservices in te schakelen die het een breed scala aan mogelijkheden bieden om gevoelige informatie van de gecompromitteerde telefoons te exfiltreren.
Octo, de herziene versie van ExobotCompact, is ook uitgerust om fraude op het apparaat uit te voeren door afstandsbediening over de apparaten te krijgen door gebruik te maken van de toegankelijkheidsrechten en Android’s MediaProjection-API om scherminhoud in realtime vast te leggen.
Het uiteindelijke doel, aldus ThreatFabric, is om de “automatische initiatie van frauduleuze transacties en de autorisatie ervan te activeren zonder handmatige inspanningen van de exploitant, waardoor fraude op een aanzienlijk grotere schaal mogelijk wordt.”
Andere opvallende kenmerken van Octo zijn onder meer het registreren van toetsaanslagen, het uitvoeren van overlay-aanvallen op bank-apps om inloggegevens vast te leggen, het verzamelen van contactgegevens en persistentiemaatregelen om verwijdering te voorkomen en antivirus-engines te omzeilen.
“Rebranding naar Octo wist eerdere banden met het Exobot-broncodelek uit en nodigde meerdere bedreigingsactoren uit die op zoek waren naar een mogelijkheid om een zogenaamd nieuwe en originele trojan te huren”, merkte ThreatFabric op.
“De mogelijkheden ervan brengen niet alleen expliciet gerichte applicaties in gevaar die het doelwit zijn van een overlay-aanval, maar elke applicatie die op het geïnfecteerde apparaat is geïnstalleerd, aangezien ExobotCompact/Octo de inhoud van elke app die op het scherm wordt weergegeven, kan lezen en de acteur voldoende informatie kan geven om op afstand ermee communiceren en fraude op het apparaat (ODF) uitvoeren.”
De bevindingen komen dicht op de hielen van de ontdekking van een afzonderlijke Android-bankbot genaamd Peetvader — het delen van overlappingen met de Cereberus en Medusa banking trojans — dat is waargenomen gericht op bankgebruikers in Europa onder het mom van de standaard Instellingen-app om onder meer geld over te maken en sms-berichten te stelen.
Op de top van dat, een nieuwe analyse gepubliceerd door AppCensus 11 apps gevonden met meer dan 46 miljoen installaties die waren geïmplanteerd met een SDK van derden genaamd Coelib die het mogelijk maakte om klembordinhoud, GPS-gegevens, e-mailadressen, telefoonnummers en zelfs het MAC-adres van de modemrouter van de gebruiker vast te leggen en netwerk SSID.
