Manuel Statik Analiz — Octo2 Android Banker | Tehdit: KRITIK

Dosya Kimliği

SHA256dc2a780f6abb9f0e48297682a59daf9164fbea2ee8b3c5a7f2d0e4b8c1f6a9d
Dosya AdıChrome.apk (Google Chrome taklidi!)
PlatformAndroid APK
Boyut2.938.129 byte (2.9MB)
String Sayisi13.628

C++ Mangled Ad Obfuskasyonu

Teknik: Octo2, .so kütüphanelerindeki C++ fonksiyon isimlerini obfüsküler!
_ZN11iVupYpJwPbmC2Ev  -- Obfüskülenmiş C++ constructor
-- "_ZN" = C++ name mangling prefix
-- "11iVupYpJwPbm" = obfüskülenmiş sınıf adı (base64 benzeri)
-- "C2" = constructor işaretçisi

Chrome Taklit Hedeflemesi

Google Chrome  -- Hedef uygulama (ve kamuflaj ismi!)
Chrome.apk     -- Google Chrome APK gibi görünen trojan

Octo/Coper Hakkında

Octo2, ExoBot/Coper ailesinden türeyen gelişmiş Android banking trojanıdır. Remote Access Trojan (RAT) yetenekleriyle dikkat çeker: ekran görüntüsü, keylogger, SMS engelleme, bildirim yönetimi. MaaS (Malware-as-a-Service) modeliyle dark web'de kiralanır. Octo2 varyantı, birinci nesle göre daha iyi obfuskasyon ve stabiliyet sunar.

IOC

SHA256dc2a780f6abb9f0e48297682a59daf9164fbea2ee8b3c5a7f2d0e4b8c1f6a9d
KamuflajGoogle Chrome APK

Octo2 — Malware Profile

Octo2 (ExoBot/Coper) Chrome.apk Android banker. MaaS. Remote Access, SMS engelleme, bildirim yonetimi.

Malware Type
Botnet
Programming Language
Java/C++
C2 Protocol
HTTP/WebSocket
Target Systems
Android/Finans

Capabilities & Behavior

DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü

IOC List (1 indicators)

IOC — Octo2
# SHA256 dc2a780f6abb9f0e48297682a59daf9164fbea2ee8b3c5a7f2d0e4b8c1f6a9d
TypeValueNote
sha256 dc2a780f6abb9f0e48297682a59daf9164fbea2ee8b3c5a7f2d0e4b8c1f6a9d len=63
Tags
octo2androidbanking-trojanchrome-apkcpp-mangled-obfuscation