Para peneliti keamanan siber telah menemukan versi baru dari trojan perbankan Android yang disebut Octo, yang hadir dengan kemampuan lebih baik untuk melakukan pengambilalihan perangkat (Device Takeover, DTO) dan menjalankan transaksi penipuan.

Versi baru ini diberi nama sandi Octo2 oleh pembuat malware tersebut, menurut perusahaan keamanan Belanda, ThreatFabric, dalam laporan yang dibagikan dengan The Hacker News. Kampanye penyebaran malware ini telah terdeteksi di negara-negara Eropa seperti Italia, Polandia, Moldova, dan Hongaria.

Baca Juga: Kisah Gelap dan Sedih,kejam: Berikut 5 Rekomendasi Film Netflix Terbaik

“Para pengembang malware mengambil langkah untuk meningkatkan stabilitas kemampuan aksi jarak jauh yang diperlukan untuk serangan Pengambilalihan Perangkat,” kata perusahaan itu

Beberapa aplikasi berbahaya yang mengandung Octo2 tercantum di bawah ini:

  • Europe Enterprise (com.xsusb_restore3)
  • Google Chrome (com.havirtual06numberresources)
  • NordVPN (com.handedfastee5)

Octo pertama kali terdeteksi oleh perusahaan pada awal 2022, dan diidentifikasi sebagai karya aktor ancaman yang menggunakan alias online Architect dan goodluck. Octo dinilai sebagai “keturunan langsung” dari malware Exobot yang pertama kali ditemukan pada 2016, yang kemudian menghasilkan varian lain bernama Coper pada 2021.

“Berdasarkan kode sumber trojan perbankan Marcher, Exobot dipertahankan hingga 2018 dengan menargetkan institusi keuangan melalui berbagai kampanye di negara seperti Turki, Prancis, dan Jerman, serta Australia, Thailand, dan Jepang,” catat ThreatFabric saat itu.

Versi ringan dari Exobot kemudian diperkenalkan dengan nama ExobotCompact oleh pembuatnya, aktor ancaman yang dikenal sebagai ‘android’ di forum dark web.

Munculnya Octo2 didorong terutama oleh kebocoran kode sumber Octo awal tahun ini, yang memungkinkan aktor ancaman lainnya menciptakan berbagai varian malware tersebut.

Perkembangan besar lainnya adalah transisi Octo menjadi operasi malware-as-a-service (MaaS), menurut Team Cymru, yang memungkinkan pengembang memonetisasi malware dengan menawarkannya kepada penjahat siber yang ingin melakukan operasi pencurian informasi.

Baca Juga: 10 Game yang Sering Dimainkan Wibu

“Saat mempromosikan pembaruan, pemilik Octo mengumumkan bahwa Octo2 akan tersedia untuk pengguna Octo1 dengan harga yang sama dan akses awal,” kata ThreatFabric. “Kita dapat mengharapkan bahwa para aktor yang sebelumnya menggunakan Octo1 akan beralih ke Octo2, sehingga memperluas ancaman ini ke skala global.”

Salah satu peningkatan penting pada Octo2 adalah pengenalan Domain Generation Algorithm (DGA) untuk menciptakan nama server command-and-control (C2), serta peningkatan stabilitas keseluruhan dan teknik anti-analisisnya.

Aplikasi Android jahat yang menyebarkan malware ini dibuat menggunakan layanan pengikatan APK yang dikenal sebagai Zombinder. Layanan ini memungkinkan aplikasi yang sah diubah menjadi trojan, sehingga mereka mengunduh malware sebenarnya (dalam hal ini Octo2) dengan dalih menginstal “plugin yang diperlukan.”

Baca Juga: Mengenal Cryptocurrency: Revolusi Uang Digital

“Dengan kode sumber malware Octo asli yang sudah bocor dan mudah diakses oleh berbagai aktor ancaman, Octo2 dibangun di atas fondasi ini dengan kemampuan akses jarak jauh yang lebih kuat dan teknik penyamaran yang lebih canggih,” kata ThreatFabric.

“Varian ini mampu melakukan penipuan di perangkat secara tersembunyi dan mencegat data sensitif. Ditambah dengan kemudahan kustomisasi oleh berbagai aktor ancaman, ini meningkatkan risiko bagi pengguna perbankan seluler di seluruh dunia.”