Ландшафт кибербезопасности переживает заметную эволюцию с появлением новой версии Android-вредоносного ПО Octo, которое недавно начало распространяться по Европе. Это сложное вредоносное ПО маскируется под известные приложения, включая NordVPN и Google Chrome, таким образом используя доверие пользователей к этим брендам. Исследователи из ThreatFabric идентифицировали эту последнюю итерацию, названную Octo2, которая также нацелена на региональное приложение под названием Europe Enterprise.
Совершенствованные механизмы антидетекции
Octo2 был разработан с усовершенствованными механизмами антидетекции и алгоритмом генерации доменов, который облегчает командно-контрольную связь. Улучшенная стабильность и устойчивость вредоносного ПО делают его особенно опасным для зараженных устройств, так как его становится все труднее обнаружить и удалить.
Происходящее из семейства вредоносного ПО ExobotCompact, которое впервые появилось в 2016 году как банковский троян, Octo2 эволюционировало в один из самых распространенных видов Android-вредоносного ПО, в первую очередь нацеленного на банковских клиентов по всему миру. Первые случаи обнаружения Octo2 были зафиксированы в таких странах, как Италия, Польша, Венгрия и Молдова, где его способность выдавать себя за доверенные приложения значительно способствовала его распространению среди ничего не подозревающих пользователей.
Улучшенные функции удаленного доступа
Одним из ключевых достижений Octo2 является его акцент на улучшении функциональности удаленного доступа, критически важного аспекта для выполнения атак по захвату устройства. Для оптимизации передачи данных и повышения стабильности соединения вредоносное ПО включает настройку, юмористически названную SHIT_QUALITY. Эта функция снижает качество изображений, отправляемых с зараженного устройства на командно-контрольный сервер, обеспечивая надежную связь даже в условиях плохого сетевого соединения.
Более того, Octo2 укрепило свои возможности антианализа и антидетекции, характеристики, которые давно определяют линию ExobotCompact. Вредоносное ПО использует динамическую загрузку своего вредоносного кода, который расшифровывается через несколько слоев защиты, что еще больше усложняет усилия по его обнаружению.
Алгоритм генерации доменов
Особенно примечательной инновацией в Octo2 является использование алгоритма генерации доменов для командно-контрольной связи. Это позволяет вредоносному ПО динамически создавать новые доменные имена, обеспечивая злоумышленникам контроль над зараженными устройствами даже в случае успешного демонтажа известных командно-контрольных серверов силами безопасности. Однако у этого алгоритма есть ограничение; как только исследователи расшифруют его работу, антивирусные поставщики смогут предвидеть и блокировать будущие доменные имена, что потенциально может снизить угрозу.