Новая версия Octo2 для Android, проанализированная компанией ThreatFabric, обладает улучшенной стабильностью работы, более продвинутыми механизмами противодействия анализу и обнаружению, а также системой генерации доменов (DGA) для устойчивой связи с командным сервером (C2).
Появление этой версии в сети подтверждает, что проект жив и продолжает развиваться, несмотря на недавние трудности.
История Octo
Octo представляет собой Android-троян для банковских систем, эволюционировавший из ExoCompact (2019-2021), который, в свою очередь, базировался на трояне ExoBot, запущенном в 2016 году. Исходный код ExoBot был слит в сеть летом 2018 года.
Впервые ThreatFabric обнаружила Octo в апреле 2022 года в фальшивых приложениях для очистки в Google Play. В отчете компании на тот момент было отмечено, что вредоносное ПО способно выполнять мошеннические действия на устройстве, предоставляя операторам широкий доступ к данным жертвы.
Octo первой версии поддерживал перехват нажатий клавиш, управление навигацией на устройстве, перехват SMS и push-уведомлений, блокировку экрана устройства, отключение звука, произвольный запуск приложений и использование зараженных устройств для рассылки SMS.
В этом году, по данным ThreatFabric, исходный код Octo был также слит, что привело к появлению множества ответвлений этого вредоносного ПО, предположительно снизив доходы создателя оригинальной версии, известного как «Architect».
После этих событий Architect анонсировал новую версию Octo2 для привлечения внимания к своему проекту на рынке вредоносных программ. Создатель даже предложил скидку для пользователей Octo первой версии.
Атаки Octo2 в Европе
Текущие кампании с использованием Octo2 нацелены на Италию, Польшу, Молдову и Венгрию. Ранее платформа Octo «Malware-as-a-Service» (MaaS) использовалась для атак по всему миру, включая США, Канаду, Австралию и Ближний Восток, поэтому, вероятно, что кампании Octo2 скоро появятся и в других регионах.
В ходе операций в Европе злоумышленники используют фальшивые приложения NordVPN и Google Chrome, а также приложение Europe Enterprise, которое, скорее всего, используется в таргетированных атаках.
Octo2 использует сервис Zombider для добавления вредоносного кода в эти APK-файлы, обходя защитные механизмы Android 13 и более поздних версий.
Более стабильный, более скрытный и более способный
Octo2 представляет собой постепенное улучшение первой версии, предлагая постепенные обновления без радикальных изменений в коде.
Во-первых, автор вредоносного ПО добавил новый низкокачественный режим в модуль удаленного доступа (RAT), называемый «SHIT_QUALITY», который снижает объем передачи данных до минимума, обеспечивая более стабильную связь при медленном интернет-соединении.
Кроме того, Octo2 расшифровывает свой вредоносный код с помощью нативного кода и загружает дополнительные библиотеки во время исполнения, усложняя его анализ.
Наконец, Octo2 использует систему доменов, основанную на генерации доменов (DGA), что позволяет операторам быстро обновлять и менять командные серверы, обходя списки блокировок и делая зловред более устойчивым к попыткам закрытия серверов.
Компания ThreatFabric отмечает, что Octo2 теперь получает список приложений, от которых нужно перехватывать и блокировать push-уведомления, что позволяет операторам более точно выбирать цели.
Octo2 пока не был замечен в Google Play, поэтому предполагается, что его распространение ограничено сторонними магазинами приложений, которых пользователям Android рекомендуется избегать.
Угрозы безопасности
• Обзор вирусной активности для Android в III квартале 2024 года – «Доктор Веб»
• Найдена критическая уязвимость в CUPS – пора обновить вашу Linux систему
• NOYB: Mozilla использует Firefox для отслеживания пользователей без их согласия
• Трояны для кражи данных научились обходить новую защиту Chrome – App-Bound Encryption
• Банковский троянец Octo2 для Android маскируется под NordVPN и Google Chrome
• Троянец Necro заразил более 11 миллионов Android-устройств через Google Play