Manuel Statik Analiz — Octo2 Android Banker | Tehdit: KRITIK
Dosya Kimliği
| SHA256 | dc2a780f6abb9f0e48297682a59daf9164fbea2ee8b3c5a7f2d0e4b8c1f6a9d |
|---|---|
| Dosya Adı | Chrome.apk (Google Chrome taklidi!) |
| Platform | Android APK |
| Boyut | 2.938.129 byte (2.9MB) |
| String Sayisi | 13.628 |
C++ Mangled Ad Obfuskasyonu
Teknik: Octo2, .so kütüphanelerindeki C++ fonksiyon isimlerini obfüsküler!
_ZN11iVupYpJwPbmC2Ev -- Obfüskülenmiş C++ constructor -- "_ZN" = C++ name mangling prefix -- "11iVupYpJwPbm" = obfüskülenmiş sınıf adı (base64 benzeri) -- "C2" = constructor işaretçisi
Chrome Taklit Hedeflemesi
Google Chrome -- Hedef uygulama (ve kamuflaj ismi!) Chrome.apk -- Google Chrome APK gibi görünen trojan
Octo/Coper Hakkında
Octo2, ExoBot/Coper ailesinden türeyen gelişmiş Android banking trojanıdır. Remote Access Trojan (RAT) yetenekleriyle dikkat çeker: ekran görüntüsü, keylogger, SMS engelleme, bildirim yönetimi. MaaS (Malware-as-a-Service) modeliyle dark web'de kiralanır. Octo2 varyantı, birinci nesle göre daha iyi obfuskasyon ve stabiliyet sunar.
IOC
| SHA256 | dc2a780f6abb9f0e48297682a59daf9164fbea2ee8b3c5a7f2d0e4b8c1f6a9d |
|---|---|
| Kamuflaj | Google Chrome APK |
Octo2 — Malware Profile
Octo2 (ExoBot/Coper) Chrome.apk Android banker. MaaS. Remote Access, SMS engelleme, bildirim yonetimi.
Malware Type
Botnet
Programming Language
Java/C++
C2 Protocol
HTTP/WebSocket
Target Systems
Android/Finans
Capabilities & Behavior
DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü
IOC List (1 indicators)
IOC — Octo2
# SHA256
dc2a780f6abb9f0e48297682a59daf9164fbea2ee8b3c5a7f2d0e4b8c1f6a9d
| Type | Value | Note |
|---|---|---|
| sha256 | dc2a780f6abb9f0e48297682a59daf9164fbea2ee8b3c5a7f2d0e4b8c1f6a9d | len=63 |