Nova versão do Trojan Octo detectada em campanha para espalhar APKs maliciosas

Descrição

 

O Octo é um cavalo de Troia bancário para Android que evoluiu do ExoCompact (2019-2021), que por sua vez foi baseado no Trojan ExoBot, lançado em 2016 e cujo código fonte foi divulgado online no verão de 2018. Atualmente, uma campanha que distribui uma nova versão do cavalo de Troia, chamada Octo2, foi observada tendo como alvo a Itália, a Polónia, a Moldávia e a Hungria. No entanto, como a plataforma Octo Malware-asa-Service (MaaS) já foi utilizada em ataques em todo o mundo, é provável que em breve vejamos campanhas deste malware bancário noutras regiões.

 

 

Detalhes técnicos

 

A nova variante apresenta uma estabilidade operacional melhorada, mecanismos anti-análise e anti-deteção mais avançados e um sistema de algoritmo de geração de domínio (DGA) para comunicações de comando e controlo (C2) resilientes. Estas alterações são pormenorizadas a seguir:

 

• Aumento da estabilidade do RAT: Os criadores actualizaram as capacidades do RAT para aumentar a estabilidade e diminuir a latência da ligação durante as sessões remotas. Eles introduziram uma configuração específica de sessão remota “SHIT_QUALITY” que pode ser especificada por um operador para diminuir a quantidade de dados transmitidos pela Internet para o C2 e aumentar a estabilidade da conexão mesmo em redes com conexão ruim. Esta configuração faz com que o Octo2 diminua a qualidade dos screenshots enviados ao C2, codificando cada pixel com a metade do número normal de bytes.

 

• Técnicas anti-análise e anti-deteção melhoradas: Os criadores implementaram um processo sofisticado de ofuscação do código malicioso em comparação com as variantes anteriores. O processo de execução consiste em várias etapas, incluindo a desencriptação e o carregamento dinâmico de uma biblioteca nativa adicional, que é responsável pela desencriptação do payload, gerando chaves de encriptação e nomes de domínio C2.

 

• Comunicação com C2 e Algoritmo de Geração de Domínio (DGA): Utiliza um Algoritmo de Geração de Domínio (DGA) para gerar o nome real do servidor C2. Esta técnica permite aos cibercriminosos atualizar os nomes de domínio em tempo real sem necessidade de regenerar amostras, bem como criar facilmente novos servidores com novos nomes depois de os conhecidos serem eliminados.

 

A derivação da chave para encriptar os dados enviados para o C2 também foi actualizada: em vez de uma chave encriptada estática, o malware gera uma nova chave para cada pedido ao C2. O “sal” criptográfico é partilhado como parte do pedido, para que o servidor C2 possa derivar a mesma chave do seu lado para desencriptar os dados.

 

Nas operações mais recentes, os agentes da ameaça usam ficheiros APK que fingem ser aplicações falsas da NordVPN e do Google Chrome, bem como uma aplicação Europe Enterprise, que é provavelmente um engodo usado em ataques direcionados. O Octo2 usa o serviço Zombider, uma aplicação distribuída na Dark Web que permite associar malware a aplicações Android legítimas para adicionar a carga maliciosa a estes APKs, contornando as restrições de segurança do Android 13 (e posterior).

 

 

Técnicas utilizadas

 

INITIAL ACCESS

Supply Chain Compromise: Compromise Software Dependencies and Development Tools.T1195.001

 

EXECUTION

User Execution: Malicious File.T1204.002

Scheduled Task/Job: Scheduled Task.T1053.005

 

DEFENSE EVASION

Masquerading: Masquerade File Type.T1036.008

Process Injection: Dynamic-link Library Injection.T1055.001

 

COMMAND & CONTROL

Dynamic Resolution: Domain Generation Algorithms.T1568.002

Protocol Tunneling.T1572

 

COLLECTION

Input Capture: Keylogging.T1056.001

Screen Capture.T1113

 

EXFILTRATION

Supply Chain Compromise: Compromise Software Dependencies and Development Tools.T1195.001

Recomendações