Octo

Octo Androidマルウェアの新バージョン「Octo2」が、NordVPN、Google Chrome、Europe Enterpriseと呼ばれるアプリを装ってヨーロッパ全土に拡散しているのが確認されています。

ThreatFabricが分析したこの新しい亜種は、より優れた動作安定性、より高度なアンチ解析およびアンチ検出メカニズム、弾力性のあるコマンド・アンド・コントロール(C2)通信のためのドメイン生成アルゴリズム(DGA)システムを特徴としています。

結局のところ、野生でのその出現は、プロジェクトが最近経験した激動にもかかわらず、存続し進化していることを裏付けている。

簡単な歴史と進化

Octoは、ExoCompact(2019-2021)から進化したAndroidバンキング型トロイの木馬で、それ自体は2016年に登場し、2018年夏にソースコードがオンラインに流出したExoBotトロイの木馬をベースにしていました。

ThreatFabricは2022年4月、Google Playの偽クリーナーアプリでOctoの最初のバージョンを発見した。当時のTFのレポートでは、このマルウェアのデバイス上での詐欺機能が強調され、操作者が被害者のデータに広範囲にアクセスできるようになっていた。

中でもOcto v1は、キーロギング、デバイス上でのナビゲーション、SMSやプッシュ通知の傍受、デバイス画面のロック、サウンドミュート、任意のアプリの起動、感染したデバイスを使ったSMS配信などをサポートしていました。

ThreatFabricによると、Octoは今年リークされ、マルウェアの複数のフォークが野放しになり、おそらくオリジナルの作成者である「Architect」の売上に打撃を与えたと思われる。

こうした出来事の後、アーキテクトはOcto2を発表したが、これはアップグレード版をマルウェア市場に投入し、サイバー犯罪者の興味をかき立てようとしたものと思われる。このマルウェアの作成者は、Octo v1の顧客向けに特別割引を発表しています。

Octo timeline
Octo のタイムライン
ThreatFabric

ヨーロッパにおけるOcto2の活動

現在Octo2を展開しているキャンペーンは、イタリア、ポーランド、モルドバ、ハンガリーに焦点を当てています。しかし、OctoのMaaS(Malware-as-a-Service)プラットフォームは、米国、カナダ、オーストラリア、中東など、これまで世界中で攻撃を促進してきたため、近いうちに他の地域でもOcto2のキャンペーンが展開されることになるでしょう。

欧州での活動では、脅威行為者は偽の NordVPN アプリや Google Chrome アプリのほか、標的型攻撃で使用されるルアーと思われる Europe Enterprise アプリも使用しています。

Octo2は、Zombiderサービスを使用して、Android 13(およびそれ以降)のセキュリティ制限を回避しながら、これらのAPKに悪意のあるペイロードを追加します。

Apps used in recent Octo2 campaigns
最近の Octo2 キャンペーンで使用されたアプリ
Source:ThreatFabric

より安定し、より回避的で、より有能に

Octo2は、画期的な変更やゼロからのコードの書き換えを実施するのではなく、最初のバージョンから段階的にマルウェアを改良しています。

まず、マルウェアの作者はリモート・アクセス・ツール(RAT)モジュールに「SHIT_QUALITY」と呼ばれる新しい低品質設定を導入し、データ送信を最低限に抑えることで、インターネット接続速度が劣悪な場合に、より信頼性の高い接続を可能にしました。

Octo2はまた、ネイティブコードを使用してペイロードを復号化し、実行中に追加のライブラリを動的にロードすることで分析を複雑にし、すでに強力な回避能力をさらに向上させています。

最後に、Octo2 は DGA ベースの C2 ドメイン・システムを導入しているため、運用者は新しい C2 サーバーを迅速に更新して切り替えることができ、ブロックリストが無効化されるとともに、サーバー奪取の試みに対する耐性が向上します。

ThreatFabricはまた、Octo2がプッシュ通知を傍受してブロックするアプリのリストを受け取るようになったことで、オペレーターが標的の範囲を絞り込むことができるようになったことも指摘しています。

Octo2はGoogle Playでは発見されていないため、その配布は現在のところサードパーティのアプリストアに限定されていると考えられ、Androidユーザーは避けるべきである。