新的Octo银行特洛伊木马通过谷歌Play Store上的假应用传播

从官方的Google Play商店累计安装了超过5万次的大量恶意Android应用程序被用于银行和其他金融实体。

出租银行特洛伊木马程序，名为奥克托荷兰移动安全公司ThreatFabric在与《黑客新闻》分享的一份报告中称，这是另一款名为ExobotCompact的安卓恶意软件的翻版，而ExobotCompact则是其前身Exobot的“lite”替代品。

ExoBOT也很有可能为一个名为COPER的独立后代铺平了道路，这是在2021年7月左右针对哥伦比亚用户最初发现的，针对不同欧洲国家的Android用户进行了新的感染。

网络安全公司Cyble在上个月对该恶意软件的分析中指出：“Coper恶意软件应用程序在设计上是模块化的，包括一种多阶段感染方法和许多防御策略，以在删除尝试后生存”。

和其他安卓银行特洛伊木马一样，流氓应用只不过是滴管，其主要功能是部署嵌入其中的恶意负载。多个威胁参与者使用的Octo和Coper滴管列表如下-

• Pocket Screencaster（com.moh.screen）
• Fast Cleaner 2021 (vizeeva.fast.cleaner)
• Play Store（com.resthe71）
• 邮政银行安全（com.carbuildz）
• Pocket Screencaster（com.cutthousandjs）
• BAWAG PSK Security（com.frontwonder2），以及
• Play Store应用程序安装（com.theseye5）

这些应用程序伪装成Play Store应用程序安装程序、屏幕录制和金融应用程序，它们“由创新的分发方案提供动力”，通过谷歌Play Store和欺诈性登录页分发，据称这些登录页会提醒用户下载浏览器更新。

一旦安装了滴管，滴管就充当了启动特洛伊木马的管道，但在请求用户启用可访问性服务之前，滴管可以提供广泛的功能，从受损手机中过滤敏感信息。

ExobotCompact的修订版Octo还可以通过利用可访问性权限以及Android的MediaProjection API实时捕获屏幕内容，对设备进行远程控制，从而执行设备欺诈。

ThreatFabric表示，最终目标是触发“自动启动欺诈交易及其授权，而无需操作员手动操作，从而允许更大规模的欺诈。”

Octo的其他显著功能包括记录击键、对银行应用程序进行覆盖攻击以获取凭据、获取联系信息，以及防止卸载和规避防病毒引擎的持久性措施。

ThreatFabric指出：“将其更名为Octo将消除之前与Exobot源代码泄漏的联系，邀请多个威胁参与者寻找机会租用一个据称是新的原创特洛伊木马”。

“它的功能不仅使被覆盖攻击明确瞄准的应用程序面临风险，而且任何作为ExobotCompact/Octo安装在受感染设备上的应用程序都能够读取屏幕上显示的任何应用程序的内容，并为参与者提供足够的信息，以远程与之交互并执行设备欺诈（ODF）。”

这些发现紧跟着一个名为“教父”—；与Cereberus和Medusa银行特洛伊木马共享重叠—；有人观察到，欧洲的银行用户打着默认设置应用的幌子，转移资金、窃取短信等。

除此之外，AppCensus发布的一项新分析发现，11款安装超过4600万次的应用被植入了名为Coelib的第三方SDK，可以捕获剪贴板内容、GPS数据、电子邮件地址、电话号码，甚至用户的调制解调器路由器MAC地址和网络SSID。