avatar_𝕓𝕣𝕠𝕕𝕪𝕒𝕘𝕒

Версия вредоносного ПО Octo для Android выдает себя за NordVPN и Google Chrome

Автор 𝕓𝕣𝕠𝕕𝕪𝕒𝕘𝕒, 24-09-2024, 18:09

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

𝕓𝕣𝕠𝕕𝕪𝕒𝕘𝕒Topic starter

Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Новая версия вредоносного ПО Octo для Android под названием «Octo2» была замечена в распространении по всей Европе под видом NordVPN, Google Chrome и приложения под названием Europe Enterprise.

Новый вариант, проанализированный ThreatFabric, отличается лучшей операционной стабильностью, более совершенными механизмами антианализа и антиобнаружения, а также системой алгоритма генерации домена (DGA) для устойчивой связи командования и управления (C2).

В конечном счете, его появление в дикой природе подтверждает, что проект жив и развивается, несмотря на турбулентность, которую он пережил в последнее время.

Краткая история и эволюция
Octo — это банковский троян для Android, развившийся из ExoCompact (2019-2021), который в свою очередь был основан на трояне ExoBot, запущенном в 2016 году и попавшем в сеть летом 2018 года.

ThreatFabric обнаружила первую версию Octo в апреле 2022 года в поддельных приложениях-очистителях в Google Play. В отчете TF в то время подчеркивались возможности вредоносного ПО по мошенничеству на устройстве, которые позволяли его операторам получить обширный доступ к данным жертвы.

Помимо прочего, Octo v1 поддерживал кейлоггеры, навигацию на устройстве, перехват SMS и push-уведомлений, блокировку экрана устройства, отключение звука, произвольные запуски приложений и использование зараженных устройств для рассылки SMS.

ThreatFabric сообщает, что утечка Octo произошла в этом году, в результате чего в дикой природе появилось несколько форков вредоносного ПО, что, по-видимому, привело к снижению продаж оригинального создателя, «Architect».

После этих событий Architect анонсировал Octo2, вероятно, в попытке выпустить обновленную версию на рынок вредоносного ПО и вызвать интерес киберпреступников. Создатель вредоносного ПО даже объявил о специальной скидке для клиентов Octo v1.

Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Операции Octo2 в Европе
Кампании, в которых в настоящее время развертывается Octo2, ориентированы на Италию, Польшу, Молдову и Венгрию. Однако, поскольку платформа Octo Malware-as-a-Service (MaaS) ранее способствовала атакам по всему миру, в том числе в США, Канаде, Австралии и на Ближнем Востоке, мы, вероятно, скоро увидим кампании Octo2 в других регионах.

В европейских операциях злоумышленники используют поддельные приложения NordVPN и Google Chrome, а также приложение Europe Enterprise, которое, вероятно, является приманкой, используемой в целевых атаках.

Octo2 использует сервис Zombider для добавления вредоносной полезной нагрузки в эти APK-файлы, обходя ограничения безопасности Android 13 (и более поздних версий).

Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Более стабильный, более уклончивый, более способный
Octo2 — это скорее последовательное обновление первой версии, которое постепенно улучшает вредоносное ПО, а не внедряет революционные изменения или переписывает код с нуля.

Во-первых, автор вредоносного ПО представил новую низкокачественную настройку в модуле инструмента удаленного доступа (RAT) под названием «SHIT_QUALITY», которая сводит передачу данных к минимуму, обеспечивая более надежное соединение при низкой скорости интернет-соединения.

Octo2 также расшифровывает свою полезную нагрузку с помощью нативного кода и усложняет анализ, динамически загружая дополнительные библиотеки во время выполнения, что еще больше улучшает его и без того сильные возможности уклонения.

Наконец, Octo2 представляет систему доменов C2 на основе DGA, которая позволяет операторам быстро обновлять и переключаться на новые серверы C2, делая черные списки неэффективными и повышая устойчивость к попыткам изъятия серверов.

ThreatFabric также отмечает, что Octo2 теперь получает список приложений для перехвата и блокировки push-уведомлений, что позволяет операторам уточнить область их таргетинга.

Octo2 не был замечен в Google Play, поэтому в настоящее время считается, что его распространение ограничено сторонними магазинами приложений, которых пользователям Android следует избегать.

You are not allowed to view links. Register or Login

🡱 🡳

* Ваши права в разделе

  • Вы не можете создавать новые темы.
  • Вы не можете отвечать в темах.
  • Вы не можете прикреплять вложения.
  • Вы не можете изменять свои сообщения.