Ara-genriset.com - Peneliti keamanan siber dari ThreatFabric, menemukan malware perbankan baru yang bisa mengendalikan perangkat pengguna yang disebarkan melalui sejumlah aplikasi di android.
Melansir dari Bleepingcomputer, Octo merupakan malware Android yang dikembangkan berdasarkan ExoCompact, yang sumber kodenya bocor pada tahun 2018 silam, Malware ini memiliki kemampuan akses jarah jauh yang memungkin operator mengendalikan perangkat korbannya.
Varian atau tipe terbaru dari malware ini ditemukan oleh para peneliti di ThreatFabric, yang melakukan pengamatan dari beberapa pengguna yang ingin membelinya di forum Darknet.
Malware ini diketahui memiliki fitur baru yang lebih signifikan dibandingkan dengan pendahulunya ExoCompact.
Tipe terbaru ini memiliki fitur akses jarak jauh yang disediakan melalui modul streaming layar langsung (realtime) melalui Proyeksi Media Android dan tindakan jarak jauh melalui Layanan Aksesibilitas.
Malware Octo menggunakan overlay layar hitam untuk menyembunyikan operasi jarak jauh korban, menyetel kecerahan layar ke nol (gelap), dan menonaktifkan semua notifikasi dengan mengaktifkan mode "no interruption".
“Dengan membuat perangkat terlihat dimatikan, malware dapat melakukan berbagai tugas tanpa sepengetahuan korban, tugas ini termasuk ketukan layar, gerakan, penulisan teks, modifikasi clipboard, menempelkan data, dan menggulir ke atas dan ke bawah,” kata peneliti ThreatFabric.
Salah satu peneliti mengatakan, selain sistem akses jarak jauh, Octo juga dilengkapi keylogger yang dapat memantau dan menangkap semua tindakan korban di perangkat Android yang terinfeksi. (Ini) termasuk PIN yang dimasukkan, situs web yang dibuka, klik dan elemen yang diklik, peristiwa yang mengubah fokus, dan peristiwa yang mengubah teks.
Selain itu, malware ini juga mendukung daftar perintah yang ekstensif, dengan fitur yang paling penting seperti memblokir pemberitahuan push dari aplikasi tertentu, mengaktifkan intersepsi SMS, me-nonaktifkan suara dan kunci layar perangkat untuk sementara, meluncurkan aplikasi tertentu, memulai dan menghentikan sesi akses jarak jauh, memperbarui daftar C2, membuka URL yang ditentukan, dan mengirim SMS dengan teks tertentu ke nomor telepon tertentu.
Menurut para peneliti, Octo dijual di forum, seperti forum peretasan XSS berbahasa Rusia, oleh aktor ancaman yang menggunakan nama alias “Architect” atau “Goodluck”. Selain itu, karena adanya kesamaan dengan ExoCompact, peneliti yakin ada kemungkinan besar bahwa 'Architect' adalah penulis yang sama atau pemilik baru kode sumber ExoCompact.
"Dengan demikian, dengan mengingat fakta-fakta ini, kami menyimpulkan bahwa ExobotCompact telah diganti namanya menjadi Trojan perbankan Android Octo dan disewakan oleh pemiliknya “Architect”,” kata para peneliti.
Peneliti menambahkan, aplikasi Google Play terbaru yang menginfeksi perangkat dengan Octo termasuk aplikasi bernama “Fast Cleaner”, yang memiliki 50.000 unduhan hingga Februari 2022, saat ditemukan dan dihapus.
Persebaran Octo lainnya mengandalkan situs yang menggunakan pemberitahuan pembaruan browser palsu atau peringatan pembaruan aplikasi Play Store palsu.
Berikut sejumlah aplikasi yang mengandung malware Octo:
1. Pocket Screencaster (com.moh.screen)
2. Fast Cleaner 2021 (vizeeva.fast.cleaner)
3. Play Store (com.restthe71)
4. Postbank Security (com.carbuildz)
5. Pocket Screencaster (com.cutthousandjs)
6. BAWAG PSK Security (com.frontwonder2)
7. Play Store app install (com.theseeye5)
Temukan artikel atau berita tentang keamanan siber lainnya disini, Bagikan artikel ini jika dirasa perlu, ikuti kami di Blogger dan LinkedIn, terima kasih.
Posting Komentar