Новый вариант вредоносного ПО для Android под названием "Octo2" появился в Европе, маскируясь под легитимные приложения, такие как NordVPN, Google Chrome и программа под названием Europe Enterprise. Последняя итерация, тщательно изученная ThreatFabric, демонстрирует улучшенную операционную стабильность и сложные механизмы, разработанные для обхода анализа и обнаружения. В частности, она использует систему генерации доменов (DGA), которая усиливает командные и контрольные (C2) коммуникации, обеспечивая устойчивость к сбоям.
Краткая история и эволюция
Вредоносное ПО Octo берет свое начало в линии банковских троянов для Android, эволюционируя из ExoCompact, который был активен с 2019 по 2021 год. Этот более ранний вариант сам был производным от трояна ExoBot, впервые представленного в 2016 году, исходный код которого был утечен в середине 2018 года. ThreatFabric впервые обнаружил Octo в апреле 2022 года, встроенным в поддельные приложения для очистки на Google Play. Их выводы показали обширные возможности мошенничества на устройстве, предоставляющие операторам значительный доступ к конфиденциальной информации жертв.
Octo v1 был оснащен рядом функциональных возможностей, включая:
- Кейлоггинг
- Навигация на устройстве
- Перехват SMS и push-уведомлений
- Блокировка экрана устройства
- Отключение звука
- Произвольный запуск приложений
- Использование зараженных устройств для распространения SMS
В начале этого года оригинальный Octo был утечен, что привело к появлению множества форков вредоносного ПО. Это развитие событий, вероятно, повлияло на продажи его оригинального создателя, известного как 'Architect'. В ответ Architect представил Octo2, предположительно для возобновления интереса среди киберпреступников. Создатель даже предложил специальную скидку для существующих клиентов Octo v1.
Операции Octo2 в Европе
Текущие кампании с использованием Octo2 в первую очередь нацелены на Италию, Польшу, Молдову и Венгрию. Однако, учитывая предыдущий охват вредоносного ПО через платформу Malware-as-a-Service (MaaS), которая способствовала атакам по всему миру — включая США, Канаду, Австралию и Ближний Восток — ожидается, что Octo2 вскоре расширит свои операции на другие регионы.
В этих европейских кампаниях злоумышленники используют поддельные приложения NordVPN и Google Chrome, а также приложение Europe Enterprise, вероятно, в качестве приманки для целевых атак. Octo2 использует сервис Zombider для встраивания вредоносного кода в эти APK-файлы, успешно обходя меры безопасности, введенные в Android 13 и более поздних версиях.
Более стабильный, более уклончивый, более способный
Octo2 представляет собой усовершенствованное обновление своего предшественника, улучшая свои возможности постепенно, а не через радикальные изменения. Значительным дополнением является введение настройки низкого качества в модуле удаленного доступа (RAT), названной "SHIT_QUALITY". Эта функция минимизирует передачу данных, обеспечивая более надежное соединение даже при плохих интернет-условиях.
Кроме того, Octo2 использует нативный код для расшифровки своего полезного груза и усложняет анализ за счет динамической загрузки дополнительных библиотек во время выполнения, значительно усиливая свои тактики уклонения. Введение системы C2-доменов на основе DGA позволяет операторам быстро обновлять и переключаться на новые C2-серверы, делая черные списки неэффективными и повышая устойчивость к попыткам отключения серверов.
ThreatFabric также отмечает, что Octo2 теперь получает специально подобранный список приложений для перехвата, что позволяет операторам тонко настраивать свои стратегии таргетинга. В настоящее время Octo2 не был обнаружен на Google Play, что указывает на его распространение через альтернативные каналы.