В даркнете появилась новая вредоносная программа - банковский троян - для Android под названием Octo. Новое ПО позволяет злоумышленникам удаленно управлять вашим устройством, совершая мошеннические действия.
Octo - это эволюционировавшая вредоносная программа для Android, основанная на ExoCompact, варианте вредоносного ПО на базе трояна Exo, исходный код которого был слит в сеть в 2018 году.
Обновленный вариант "трояна" был обнаружен исследователями из ThreatFabric, которые заметили некоторую активность пользователей, изъявляющих желание приобрести его на форумах в даркнете.
Новые возможности
Существенным отличием нового "трояна" Octo от ExoCompact является продвинутый модуль удаленного доступа, который позволяет субъектам угроз осуществлять мошеннические действия на устройстве, удаленно контролируя взломанное Android-устройство.
Удаленный доступ обеспечивается с помощью модуля потоковой трансляции экрана (обновляется каждую секунду) через MediaProjection в Android и удаленных действий через Accessibility Service.
Для скрытия своей активности Octo использует наложение экрана, чтобы скрыть удаленные действия. Троян устанавливает яркость экрана на ноль и отключает все уведомления, активируя режим "без прерывания".
Создавая видимость выключенного устройства, вредоносная программа может выполнять различные задачи без ведома жертвы. Эти задачи включают в себя касания экрана, жесты, написание текста, изменение буфера обмена, вставку данных, а также прокрутку вверх и вниз.
Помимо системы удаленного доступа, Octo также оснащен мощным кейлоггером, который может отслеживать и фиксировать все действия жертвы на зараженных устройствах Android.
Сюда входят введенные PIN-коды, открытые веб-сайты, клики и нажатые элементы, события смены фокуса и изменения текста.
Наконец, Octo поддерживает обширный список команд, среди которых наиболее важными являются:
- Блокировка push-уведомления от указанных приложений
- Перехвата SMS
- Отключение звука и временная блокировка экрана устройства
- Запуск указанного приложения
- Запуск/остановка сеанса удаленного доступа
- Обновление списка C2
- Переход на указанный URL
- Отправка SMS с заданным текстом на указанный номер телефона.
Рекламные кампании и атрибуция
Octo запросто продается на форумах в даркнете. Например на XSS - русскоязычном форуме - троян предлагается к покупке участниками сообщества с ником"Architect" он же "goodluck".
Следует особо отметить, что хотя большинство сообщений на XSS написаны на русском языке, почти все сообщения между Octo и потенциальными покупателями были написаны на английском.
Из-за большого сходства с ExoCompact, включая успех публикации в Google Play, функцию отключения Google Protect и систему защиты от обратной разработки, ThreatFabric считает, что есть большая вероятность того, что "Architect" является либо тем же автором, либо новым владельцем исходного кода ExoCompact.
ExoCompact также имеет модуль удаленного доступа, хотя и более простой, предоставляет опции задержки выполнения команд и имеет схожую с Octo панель администратора.
"Таким образом, учитывая эти факты, можно прийти к выводу, что ExobotCompact был ребрендирован в банковский троян Octo Android и арендуется его владельцем "Architect", также известным как "goodluck". ThreatFabric отслеживает этот вариант как ExobotCompact.D", - заключает Threat Fabric в своем отчете.
Среди недавних приложений Google Play, заразивших устройства Octo, - приложение под названием "Fast Cleaner", которое загрузили более 50 000 раз до февраля 2022 года, когда оно было обнаружено и удалено.
Другие кампании Octo проводились на сайтах, использующих поддельные уведомления об обновлении браузера или предупреждения об обновлении приложений в Play Store.
Некоторым операторам Octo удалось снова проникнуть в Play Store после удаления из Маркета Fast Cleaner, используя приложение под названием "Pocket Screencaster".
Полный список известных приложений для Android, содержащих вредоносную программу Octo, приведен ниже:
- Pocket Screencaster (com.moh.screen)
- Fast Cleaner 2021 (vizeeva.fast.cleaner)
- Play Store (com.restthe71)
- Postbank Security (com.carbuildz)
- Pocket Screencaster (com.cutthousandjs)
- BAWAG PSK Security (com.frontwonder2), и
- Установка приложений Play Store (com.theseeye5)
Новая опасность
Троянские программы с модулями удаленного доступа становятся все более распространенными, делая такие надежные меры защиты учетных записей, как двухфакторные коды, неактуальными, поскольку объект угрозы полностью контролирует устройство и входящие в него учетные записи.
Все, что пользователь видит на экране своего устройства, становится доступным для этих вредоносных программ, поэтому после заражения никакая информация не будет в безопасности, и никакие меры защиты не будут эффективными.
Таким образом, пользователям необходимо сохранять бдительность, свести к минимуму количество приложений, установленных на их смартфонах, и регулярно проверять, включена ли функция Play Protect.
