Versi baru malware Android Octo, bernama “Octo2,” telah terlihat menyebar di seluruh Eropa dengan kedok NordVPN, Google Chrome, dan aplikasi bernama Europe Enterprise.
Varian baru, dianalisis oleh ThreatFabricmemiliki stabilitas operasional yang lebih baik, mekanisme anti-analisis dan anti-deteksi yang lebih canggih, dan sistem algoritma pembangkitan domain (DGA) untuk komunikasi perintah dan kontrol (C2) yang tangguh.
Pada akhirnya, kemunculannya di alam liar menegaskan bahwa proyek tersebut tetap hidup dan berkembang meskipun ada turbulensi yang dialaminya baru-baru ini.
Sejarah singkat dan evolusi
Octo adalah trojan perbankan Android yang berevolusi dari ExoCompact (2019-2021), yang didasarkan pada trojan ExoBot yang diluncurkan pada tahun 2016 dan memiliki kode sumber bocor daring pada musim panas tahun 2018.
ThreatFabric menemukan versi pertama Octo pada bulan April 2022 pada aplikasi pembersih palsu di Google Play. Laporan TF saat itu menyoroti kemampuan malware untuk melakukan penipuan pada perangkat yang memungkinkan operatornya memperoleh akses luas ke data korban.
Di antara yang lain, Octo v1 mendukung pencatatan tombol, navigasi pada perangkat, penyadapan SMS dan pemberitahuan push, penguncian layar perangkat, pembisuan suara, peluncuran aplikasi sewenang-wenang, dan penggunaan perangkat yang terinfeksi untuk distribusi SMS.
ThreatFabric mengatakan Octo mengalami kebocoran tahun ini, yang menyebabkan beberapa percabangan malware bermunculan di mana-mana, yang mungkin mengakibatkan penurunan penjualan bagi pembuat aslinya, ‘Architect.’
Menyusul kejadian ini, Architect mengumumkan Octo2, kemungkinan sebagai upaya untuk meluncurkan versi terbaru ke pasar malware dan menarik minat para penjahat dunia maya. Pembuat malware tersebut bahkan mengumumkan diskon khusus bagi pelanggan Octo v1.
Sumber: ThreatFabric
Operasi Octo2 di Eropa
Kampanye yang saat ini menggunakan Octo2 berfokus pada Italia, Polandia, Moldova, dan Hungaria. Namun, karena platform Octo Malware-as-a-Service (MaaS) sebelumnya telah memfasilitasi serangan di seluruh dunia, termasuk di AS, Kanada, Australia, dan Timur Tengah, kita mungkin akan segera melihat kampanye Octo2 muncul di wilayah lain.
Dalam operasi Eropa, pelaku ancaman menggunakan aplikasi NordVPN dan Google Chrome palsu, serta aplikasi Europe Enterprise, yang kemungkinan merupakan umpan yang digunakan dalam serangan yang ditargetkan.
Octo2 menggunakan Layanan Zombieder untuk menambahkan muatan berbahaya ke dalam APK ini sambil melewati batasan keamanan Android 13 (dan yang lebih baru).
Sumber: ThreatFabric
Lebih stabil, lebih mudah menghindar, lebih mampu
Octo2 lebih merupakan pembaruan bertahap terhadap versi pertama, yang meningkatkan malware secara bertahap alih-alih menerapkan perubahan besar atau menulis ulang kode dari awal.
Pertama, pembuat malware memperkenalkan pengaturan kualitas rendah baru pada modul alat akses jarak jauh (RAT) yang disebut “SHIT_QUALITY” yang mengurangi transmisi data seminimal mungkin, memungkinkan konektivitas yang lebih andal saat kecepatan koneksi internet di bawah standar.
Octo2 juga mendekripsi muatannya menggunakan kode asli dan mempersulit analisis dengan memuat pustaka tambahan secara dinamis selama eksekusi, yang selanjutnya meningkatkan kemampuan penghindarannya yang sudah kuat.
Terakhir, Octo2 memperkenalkan sistem domain C2 berbasis DGA yang memungkinkan operator memperbarui dan beralih dengan cepat ke server C2 baru, menjadikan daftar blokir tidak efektif dan meningkatkan ketahanan terhadap upaya penutupan server.
ThreatFabric juga mencatat bahwa Octo2 sekarang menerima daftar aplikasi untuk mencegat dan memblokir pemberitahuan push, yang memungkinkan operator untuk menyempurnakan cakupan penargetan mereka.
Octo2 belum terlihat di Google Play, jadi distribusinya saat ini diyakini terbatas pada toko aplikasi pihak ketiga, yang sebaiknya dihindari oleh pengguna Android.
