Trojanac OctoV2 maskiran kao DeepSeek AI

OctoV2 sofisticirani Android bankarski trojanac se maskira kao DeepSeek AI, aplikaciju za naprednu vještačku inteligenciju u formi virtuelnog asistenta za komunikaciju, pokazuje istraživanje K7 Labs. Kampanja zlonamjernog softvera koristi phishing taktike kako bi prevarila korisnike da preuzmu zlonamjernu aplikaciju koja krade osjetljive informacije.

ANDROID BANKARSKI TROJANAC: OCTOV2

Pojava OctoV2 označava novu eru u sajber prijetnjama, gdje zlonamjerni akteri koriste popularne aplikacije i ciljaju korisnike koji ništa ne slute da bi ostvarili svoje zlonamjerne ciljeve. Dubljom analizom ove prijetnje za korisnike, postaje jasno da je ova prijetnja više od običnog zlonamjernog softvera – to je orkestrirani napad dizajniran da iskorištava popularne aplikacije kako bi se instalirao na uređaje korisnika.

 

Istorijski pregled

OctoV2 je počeo kao Exobot zlonamjerni softver čiji su prvi uzorci primijećeni 2016. godine. U to vreme, to je bio bankarski trojanac sposoban da vrši napade sa preklapanjem i kontroliše pozive, SMS i obavještenja na ekranu. Zlonamjerni akteri koji stoje iza Exobot imali su velike planove, sa ciljem da ga naprave zlonamjernim alatom za sajber kriminalce širom sveta.

Exobot je brzo stekao popularnost među podzemnim forumima, gdje bi korisnici dijelili savjete o tome kako efikasno koristiti zlonamjerni softver. U to vreme su sigurnosni istraživači prvi put počeli da primjećuju Exobot mogućnosti i počeli da prate njegove aktivnosti. Međutim, uprkos naporima stručnjaka za sajber bezbjednost, Exobot je nastavio da se razvija i širi globalno, ciljajući regione širom sveta.

Dolazi 2019. godina kada je nova verzija Exobot zlonamjernog softvera pod nazivom ExobotCompact promovisana na podzemnim forumima kao lagana alternativa koja je zadržala većinu karakteristika svog prethodnika. Ova ažurirana varijanta zatekla je mnoge nespremne, a neki proizvođači antivirusnog softvera su je nazvali “Coper”. Međutim, sigurnosni istraživači su našli dokaze o povezanosti između Coper verzije i originalnog Exobot zlonamjernog softvera.

Uvođenje ExobotCompact verzije zlonamjernog softvera označilo je zanimljiv pomak u strategiji za zlonamjerne aktere koji stoje iza ove porodice zlonamjernog softvera. Kreiranjem kompaktnije verzije, oni su imali za cilj da svoj alat olakšaju za korišćenje, a da i dalje zadrže njegove osnovne mogućnosti. Činilo se da je ovaj potez osmišljen posebno imajući na umu novije sajber kriminalce – one koji možda nisu imali veliko iskustvo u radu sa bankarskim trojancima.

Posle kratke pauze od javnosti, Exobot nasljeđe se nastavilo sa još jednom iteracijom – ovog puta pod nazivom “Octo”. Prvi uzorci Octo varijante viđeni su otprilike u istom periodu kao i ExobotCompact. Međutim, za razliku od svog prethodnika, koji se fokusirao na to da bude kompaktniji i lakši za korištenje, Octo je izgleda zauzeo drugačiji pristup.

Istraživači su primijetili da je Octo dizajniran posebno za korištenje po poslovnom modelu zlonamjerni softver kao usluga (eng. malware-as-a-service – MaaS) – u suštini omogućavajući zlonamjernim akterima da iznajme pristup zlonamjernom softveru umjesto da ga direktno kupe. Ovaj pomak ka poslovnom modelu zlonamjerni softver kao usluga (MaaS) označio je zanimljiv razvoj događaja u digitalnom okruženju sajber kriminala i omogućio da se više pojedinaca uključi u korištenje bankarskih trojanaca.

Bilo je sasvim prirodno da se sljedeća verzija u ovoj porodici zlonamjernog softvera zove “Octo2”. S obzirom na uspeh njegovog prethodnika, sigurnosni istraživači su očekivali značajna poboljšanja i nove funkcije. I zaista, nisu bili razočarani – čim su uzorci Octo2 počeli da se pojavljuju na internetu, postalo je jasno da su zlonamjerni akteri zauzeli agresivniji pristup svojoj najnovijoj kreaciji.

Jedna značajna karakteristika u Octo2 verziji zlonamjernog softvera bila je mogućnost blokiranja obavještenja na ekranu iz određenih aplikacija. Činilo se da je ovo posebno dizajnirano za ciljanje korisnika koji su se u velikoj mjeri oslanjali na ove usluge i koji bi mogli da ga koriste zlonamjerni akteri kao dio većih napada koji imaju za cilj krađu osjetljivih informacija ili ometanje internet aktivnosti.

Kako su sigurnosni istraživači nastavili da prate aktivnosti Octo2 verzije, pojavila se nova varijanta – nazvana “OctoV2”. Ova najnovija verzija je otkrivena pod maskom legitimne aplikacije DeepSeek AI. Činjenica da su zlonamjerni akteri uspeli da uspješno prikriju svoj zlonamjerni softver kao popularnu i pouzdanu aplikaciju naglašava rastuću sofisticiranost zlonamjernih aktera.

 

Deepseek AI

Svet vještačke inteligencije (eng. artificial intelligence – AI) se brzo razvijao u posljednjih nekoliko godina, a jedna od njegovih najperspektivnijih aplikacija virtuelnog asistenta za komunikaciju je DeepSeek AI. Razvijena od strane kineskog mladog preduzeća (eng. startup) sa sjedištem u gradu Hangzhou, ova napredna platforma vještačke inteligencije prvi je put objavljena za iOS i Android platforme u januaru 2025. godine. Primarna svrha DeepSeek AI je da korisnicima pruži inteligentno konverzacijsko okruženje koji može da se angažuje na različite teme, od jednostavnih upita o vremenu ili ažuriranju vesti do složenijih ili zabavnih diskusija o nauci, istoriji ili zabavi.

Napredni model DeepSeek AI, poznat kao DeepSeek-R1, omogućava mu da razume i reaguje na unose korisnika na veoma sofisticiran način. To znači da korisnici mogu da vode razgovore prirodnog zvučanja sa virtuelnim asistentom za komunikaciju, koji je dizajniran da oponaša interakcije slične ljudima. Platforma je stekla značajnu popularnost među tehnološkim entuzijastima i onima koji su zainteresovani da istraže mogućnosti komunikacije zasnovane na vještačkoj inteligenciji.

Pojava DeepSeek AI označila je važnu prekretnicu za njegove programere, koji su radili na usavršavanju svoje tehnologije nekoliko godina. Koristeći najsavremenije algoritme za mašinsko učenje i ogromne količine podataka, uspeli su da naprave virtuelnog asistenta za komunikaciju koji bi mogao da angažuje korisnike sa izuzetnom preciznošću i brzinom. Kako je popularnost ove platforme rasla, rasla je i zabrinutost oko potencijalnih bezbjednosnih rizika povezanih sa aplikacijama koje pokreće vještačka inteligencija.

Kao što je često slučaj kada se pojave nove tehnologije, postoje i oni koji ih nastoje da iskoriste u zlonamjerne svrhe. U ovom slučaju je identifikovano da zlonamjerni akteri koriste phishing internet stranice koje blisko oponašaju zvaničnu platformu DeepSeek AI u pokušaju da prevare korisnike da preuzmu zlonamjernu aplikaciju.

 

Distribucija

Bankarski trojanac OctoV2 je odličan primjer kako se sofisticirana phishing taktika može koristiti da se čak i najoprezniji korisnici obmanu da instaliraju zlonamjerni softver na svoje uređaje. Phishing napadi postoje decenijama, ali nastavljaju da se razvijaju u sofisticiranosti i složenosti.

U slučaju OctoV2, zlonamjerni akteri su koristili phishing veze na Twitter platformi i drugim platformama društvenih medija da šire zlonamjernu aplikaciju koja oponaša funkcionalnost legitimne aplikacije DeepSeek AI. Ove kampanje su se često oslanjale na tehnike psihološke manipulacije kao što su oskudica ili hitnost kako bi ubijedili korisnike da brzo preduzmu akciju bez provjere autentičnosti.

 

Proces instalacije

Kao što je već rečeno, početna tačka kontakta za potencijalne žrtve su obmanjujuće internet stranice i postovi na društvenim medijima koji oponašaju legitimnu aplikaciju DeepSeek AI. Ove zlonamjerne veze su dizajnirane da namame korisnike da preuzmu trojanizovanu aplikaciju, koja je naizgled legitimna. Phishing veza hxxps://deepsekk[.]sbs je odličan primjer ove taktike, gdje su žrtve prevarene da povjeruju da pristupaju legitimnom DeepSeek AI virtuelnom asistentu za komunikaciju.

Kada korisnik klikne na zlonamjernu vezu, njegov uređaj pokreće proces preuzimanja trojanizovane aplikacije, koja se zatim čuva u direktorijumu Sdcard/Downloads na uređaju. Ova naizgled bezazlena akcija pokreće lančanu reakciju koja na kraju dovodi do instaliranja OctoV2 zlonamjernog softvera na uređaj žrtve.

Nakon instalacije, OctoV2 zlonamjerni softver pokreće proces raspakivanja koji izdvaja njegove osnovne komponente iz preuzete APK datoteke. Zlonamjerni softver zatim nastavlja sa inicijalizacijom, gdje postavlja niz osnovnih procesa neophodnih za njegov rad. Ovo uključuje uspostavljanje komunikacionih kanala do servera za komandu i kontrolu (C2), koji služe kao nervni centri za operacije zlonamjernih aktera.

 

Vještine sofisticiranog izbjegavanja

Da bi obezbijedio besprijekorno izvršavanje i postojanost na zaraženim uređajima, OctoV2 zlonamjerni softver iskorištava ranjivosti u okviru dozvola za usluge pristupačnosti Android operativnog sistema. Zloupotrebom ovih privilegija, zlonamjerni softver dobija administratorski pristup (eng. root) pristup sistemskim resursima, omogućavajući mu da manipuliše podešavanjima uređaja, presreće osjetljive informacije i izbjegne detekciju od strane bezbjednosnog softvera.

Jedna od najefikasnijih OctoV2 tehnika izbjegavanja je njegova upotreba zaštite lozinkom za zlonamjerni kôd. Šifrovanjem kritičnih komponenti jakim lozinkama, zlonamjerni softver obezbjeđuje da čak i ako sigurnosni istraživač ili analitičar dobije pristup inficiranom uređaju, neće moći da dešifruje pravu prirodu i namjeru koja stoji iza trojanizovane aplikacije.

 

Komandno-kontrolni (C2) serveri

Efikasna komunikacija između inficiranih uređaja i servera za komandu i kontrolu je ključna za uspeh svake operacije sajber kriminala. Kao bi to osigurao OctoV2 zlonamjerni softver nakon infekcije pokreće proces profilisanja uređaja koji prikuplja bitne detalje o inficiranom uređaju. Ovo uključuje hardverske specifikacije, verziju operativnog sistema i druge relevantne podatke neophodne za uspostavljanje komunikacionih kanala sa C2 serverima.

Kada je početno uspostavljanje veze završeno, OctoV2 zlonamjerni softver nastavlja da prenosi osjetljive informacije kao što su akreditivi za prijavu, finansijski podaci i druga vrijedna sredstva svojim operaterima na C2 serveru. Zlonamjerni softver takođe dobija uputstva od ovih komandnih centara, koja mogu uključivati ažuriranja zlonamjerne baze kôdova ili nove taktike za izbjegavanje otkrivanja.

 

Uticaj

Uticaj Android bankarskog trojanca OctoV2 na korisnike i organizacije je značajan, dalekosežan i potencijalno razoran. Na individualnom nivou, posljedice ovog napada OctoV2 zlonamjernog softvera mogu biti ozbiljne. Jednom instaliran na uređaju, OctoV2 zlonamjerni softver ima pristup osjetljivim informacijama kao što su akreditivi za prijavu na različite platforme za internet bankarstvo, nalozi društvenih medija i drugi lični podaci koji se čuvaju lokalno ili u uslugama u oblaku. Ovo omogućava zlonamjernim akterima da izvrše krađu identiteta, finansijske prevare i druge zlonamjerne aktivnosti koje mogu imati dugotrajne posljedice po život žrtve.

OctoV2 zlonamjerni softver takođe ima mogućnost izmjene sistemskih podešavanja, što omogućava zlonamjernim akterima da steknu kontrolu nad funkcionalnošću uređaja, uključujući pristup kameri, upotrebu mikrofona, GPS praćenje i još mnogo toga. Ovaj nivo upada ne samo da kompromituje lične podatke, već i dovodi korisnike u opasnost da budu meta drugih vrsta zlonamjernog softvera ili čak fizičke povrede ako je njihova lokacija ugrožena. Štaviše, psihološki uticaj otkrivanja da su nečije osjetljive informacije ukradene ne može se precijeniti; može dovesti do osjećaja ranjivosti, nepovjerenja u digitalne usluge i opšteg osjećaja nelagodnosti.

Pored ovih pojedinačnih posljedica, OctoV2 zlonamjerni softver takođe predstavlja značajne rizike za organizacije koje se oslanjaju na mobilne uređaje kao dio svog poslovanja. Sa mogućnošću pristupa osjetljivim poslovnim podacima uskladištenim lokalno ili sa daljine, zlonamjerni akteri bi potencijalno mogli da steknu kontrolu nad mrežama kompanije, što bi dovelo do finansijskih gubitaka, gubitka reputacije, pa čak i krađe intelektualne svojine. Štaviše, ako zaposleni u organizaciji koriste kompromitovane uređaje za interakciju sa kupcima ili partnerima, to takođe može dovesti do gubitka povjerenja u brend.

Uticaj na organizacije nije ograničen na direktne finansijske troškove; mogu postojati i indirektne posljedice kao što su smanjena produktivnost zaposlenih zbog straha od kompromitovanja uređaja, povećani zahtevi za IT podrškom za rješavanje problema i napore za sanaciju i potencijalne regulatorne kazne ako su osjetljivi podaci ugroženi. Pored toga, ponovljeni incidenti mogu dovesti do gubitka poslovne reputacije i čak dovesti do toga da se organizacija nađe na crnoj listi od strane renomiranih partnera ili klijenata.

U smislu širih društvenih implikacija, OctoV2 zlonamjerni softver predstavlja još jedan primjer kako sajber kriminal nastavlja da se razvija alarmantnom brzinom. Kako mobilni uređaji postaju sve prisutniji i međusobno povezani sa drugim digitalnim uslugama, oni takođe pružaju nove mogućnosti zlonamjernim akterima da iskoriste ranjivosti i dobiju pristup osjetljivim informacijama. Ovo naglašava potrebu za kontinuiranim ulaganjem u istraživanje sajber bezbjednosti, obrazovanje i napore za podizanje svesti među pojedincima i organizacijama.

Uticaj OctoV2 zlonamjernog softvera na korisnike i organizacije služi kao dobar podsjetnik da je sajber kriminal uvijek prisutna prijetnja koja zahteva stalnu budnost i proaktivne mjere za ublažavanje njenih efekata.

 

ZAKLJUČAK

Analiza ključnih datoteka povezanih sa ozloglašenim zlonamjernim softverom OctoV2 otkrila je sofisticiranog i lukavog protivnika koji i dalje izbjegava otkrivanje konvencionalnim bezbjednosnim mjerama. Prisustvo kôda zaštićenog lozinkom služi kao svjedočanstvo domišljatosti autora, koji su uspješno primijenili tehnike šifrovanja da sakriju svoj zlonamjerni teret od standardnih alata za obrnuti inženjering. Ovaj namjerni pokušaj da se prikriju prave namjere napravio je izazov za sigurnosne analitičare da ispitaju kôd, omogućavajući tako OctoV2 zlonamjernom softveru da ostane neotkriven na inficiranim uređajima.

Analiza zajedničkih datoteka povezanih sa OctoV2 zlonamjernim softverom takođe je rasvijetlila njegovu sposobnost da prenosi osvetljive informacije o inficiranim uređajima nazad na servere za komandu i kontrolu (C2). Ova mogućnost omogućava zlonamjernim akterima da izvrše automatizovane šeme prevare, uključujući krađu akreditiva i finansijske prevare, dodatno naglašavajući potrebu da korisnici budu izuzetno oprezni u interakciji sa aplikacijama koje zahtevaju dozvole za uslugu pristupačnosti ili druge sumnjive privilegije.

Upotreba phishing taktike od strane zlonamjernih aktera omogućila je da se prevare čak i najoprezniji korisnici i da preuzmu DeepSeek AI zlonamjernu verziju. Ovo su postigli tehnikama društvenog inženjeringa koje manipulišu pojedincima da otkriju svoje akreditive za prijavu ili druge osjetljive informacije. Samo razumijevanjem ovih taktika i tehnika koje koristi OctoV2 zlonamjerni softver i zlonamjerni akteri koji stoje iza njega, moguće je biti bolje pripremljen za borbu protiv ove podmukle prijetnje i zaštititi uređaje od njenog zlonamjernog djelovanja.

 

ZAŠTITA

Evo nekoliko preporuka o tome kako da korisnici zaštite sebe i svoj uređaj od OctoV2 Android bankarskog trojanaca:

1. Jedna od najvećih grešaka koje korisnici prave je preuzimanje aplikacija sa internet lokacija trećih strana ili neprovjerenih izvora. Da bi se smanjio rizik, uvijek preuzimati aplikacije iz Google Play prodavnice ili Apple App Provjeriti ime programera i pročitati recenzije korisnika prije instaliranja bilo koje aplikacije. Ovaj jednostavan korak može značajno smanjiti vjerovatnoću da uređaj bude zaražen zlonamjernim softverom kao što je OctoV2;
2. Primjenjivati redovna ažuriranja softvera uključuju kritične bezbjednosne ispravke koje pomažu u zaštiti od novootkrivenih ranjivosti. Respektivno održavati operativni sistem, aplikacije i drugi softver ažurnim omogućavanjem automatskih ažuriranja na uređaju. Ovo će osigurati posjedovanje najnovijih bezbjednosnih funkcija i zaštite kaje bi trebale spriječiti infekcije zlonamjernim softverom;
3. Slabe lozinke su uobičajena ulazna tačka za sajber prijetnje kao što je OctoV2. Obavezno koristiti jake, jedinstvene lozinke za sve naloge, uključujući elektronsku poštu, društvene medijie i bankarske aplikacije. Pored toga, omogućiti autentifikaciju u dva koraka (eng. two-factor authentication – 2FA) kad god je to moguće. Ovo dodaje dodatni sloj bezbjednosti, jer zahteva i lozinku i verifikacioni kôd koji se šalje na telefon, elektronsku poštu ili aplikaciju za autentifikaciju;
4. Phishing napadi su uobičajene taktike koje koriste zlonamjerni akteri za širenje zlonamjernog softvera kao što je OctoV2. Izbjegavati otvaranje sumnjive elektronske pošte, posebno one koja sadrže priloge nepoznatih pošiljalaca. Slično tome, primjenjivati oprez sa vezama u neželjenim porukama koje mogu dovesti do zlonamjernih internet lokacija;
5. Instalirati i redovno ažurirajte renomirani antivirusni softver na uređaju. Ovo će pomoći u otkrivanju i uklanjanju zlonamjernog softvera kao što je OctoV2 prije nego što izazove značajnu štetu. Potražiti antivirusno rješenje sa zaštitom u realnom vremenu, automatskim ažuriranjima i robusnim mehanizmom za skeniranje;
6. Paziti na neobično ponašanje uređaja, kao što su spore performanse, neočekivana rušenja ili neobjašnjivo pražnjenje baterije. Ovi simptomi mogu ukazivati na prisutnost zlonamjernog softvera na uređaju kao što je OctoV2. Ako se primijeti bilo koji od ovih znakova, odmah preduzimati mjere skeniranja i čišćenja uređaja;
7. Javne Wi-Fi mreže često kompromituju zlonamjerni akteri koji žele da šire zlonamjerni softver ili ukradu osjetljive informacije. Kako bi se zaštitili od takvih prijetnji u koje spada i OctoV2, koristiti virtualnu privatnu mrežu (eng. virtual private network – VPN) prilikom pristupa internetu na javnim Wi-Fi mrežama. Ovo će šifrovati podatke i spriječiti zlonamjerne aktere da ih presretnu;
8. Primjenjivati oprez sa dozvolama za aplikacije, posebno onima koje zahtevaju pristup osjetljivim informacijama ili funkcijama kao što su usluge lokacije, kamera ili mikrofon. Davati potrebne dozvole samo aplikacijama za koje postoji osnovano povjerenje, jer prekomjerni zahtevi za dozvole mogu biti znak aktivnosti zlonamjernog softvera kao što je OctoV2;
9. Infekcije zlonamjernim softverom kao što je OctoV2 mogu dovesti do gubitka i oštećenja podataka. Da bi se to izbjeglo, potrebno je redovno praviti rezervne kopije važnih datoteka i podataka na spoljnom disku ili servisu za skladištenje u oblaku. Ovo će osigurati pristup informacijama čak i ako je uređaj ugrožen zlonamjernim softverom;
10. Poželjno je biti informisan o najnovijim sajber prijetnjama kao što je OctoV2 preko renomiranih izvora kao što su blogovi o sajber bezbjednosti, novinske kuće i zvanične vladine internet stranice. Razumijevanje načina na koji ove prijetnje funkcionišu može pomoći u preduzimanju proaktivnih mjera zaštite uređaja od infekcije;

Prateći ove preporuke, moguće je značajno smanjiti rizik od toga da se postane žrtva infekcija zlonamjernim softverom kao što je OctoV2. Važno je zapamtiti, prevencija je ključna u zaštiti od sajber prijetnji!