Octo2: нов невидим Android троянец атакува Европа
В Европа се популяризира нов вид на злотворен програмен продукт за Android, наименуван Octo2, който е усъвършенствана версия на Octo (ExobotCompact). Според организацията ThreatFabric новата версия може да окаже доста влияние върху ландшафта на киберсигурността.
Octo2 е актуализация на злотворен програмен продукт като услуга (MaaS) – вид малуер, който е в този момент е доста известен измежду киберпрестъпниците. Тази версия разполага с усъвършенствани благоприятни условия за дистанционно управление на устройствата на жертвите и нови техники за прикриване, в това число генериране на имена на домейни (DGA), за заобикаляне на отбраните за троянецът да остане неусетен.
Фамилията Exobot е засечена за първи път през 2016 година като банков троянец, кадърен да прави офанзиви с наслагване на интерферйса, да прихваща позвънявания и известия. През 2019 година се появи олекотена версия на ExobotCompact, последвана от усъвършенствана разновидност, наречена Octo, през 2021 година точно тази версия стана основата за по-нататъшни промени.
През 2022 година киберпрестъпниците интензивно обсъждаха Octo в ъндърграунд форумите. Оттогава интензивността на зловредния програмен продукт непрестанно нараства и не след дълго той стартира да се употребява в разнообразни райони на света, в това число в Европа, Съединени американски щати и Азия.
Основната смяна през 2024 година се дължи на приключването на изходния код на Octo, което води до няколко форка на програмата. Най-голямата опасност обаче е истинската Octo2, създадена от основателя на Octo и публикувана измежду тези, които преди този момент са употребявали първата версия.
Zombinder желае позволение за инсталиране на „ нужен плъгин “ под формата на троянския кон Octo2 В Octo2 са въведени обилни актуализации, в това число усъвършенствания в стабилността на дистанционното управление на устройствата и способи за заобикаляне на системите за разбор и разкриване. В Octo2 е въведена и система, която разрешава да се прихващат и скриват push известията от устройствата на жертвите, като по този метод потребителите се лишават от значими предизвестия. Това съставлява опасност за голям брой мобилни приложения, защото нападателите могат елементарно да пренасочват данните и да правят лъжливи дейности.
Първите акции с потреблението на Octo2 към този момент са регистрирани в страни като Италия, Полша, Молдова и Унгария. Зловредният програмен продукт се маскира във тип на известни приложения като Гугъл Chrome и NordVPN, което му оказва помощ да проникне неусетно в устройствата на потребителите.
В разкритите акции услугата Zombinder работи като първи стадий от инсталацията: откакто бъде стартирана, Zombinder изисква инсталирането на спомагателен „ плъгин “, който в действителност е Octo2, като по този метод сполучливо заобикаля рестриктивните мерки на Android 13+.
Един от основните детайли на Octo2 е консолидираното на новия способ Domain Generation Algorithm (DGA), който дава опция на зловредния програмен продукт динамично да трансформира контролните сървъри (C2). Това усложнява работата на откривателите и антивирусните компании, защото автоматизирано се основават нови домейни, което затруднява тяхното блокиране.
Освен това Octo2 употребява нова система за криптиране на данните, изпращани към контролните сървъри – с динамичен ключ за всяка поръчка, което усилва отбраната против разбор и разкриване.
С усъвършенстваните благоприятни условия за далечен достъп и прокристост Octo2 съставлява сериозна опасност за мобилните консуматори, изключително за тези, които употребяват банкови приложения. Той може неусетно да прави лъжливи преводи непосредствено на устройството на жертвата, което го прави един от най-опасните мобилни троянски коне.
