Хакеры начали распространять новую версию вредоносного ПО Octo для Android, получившую название Octo2. Эксперты компании ThreatFabric выяснили, что злоумышленники распространяют её в европейских странах под видом NordVPN, Google Chrome и приложения Europe Enterprise.
Новый вариант, проанализированный специалистами по кибербезопасности ThreatFabric, отличается лучшей операционной стабильностью, более совершенными механизмами антианализа и антиобнаружения, а также системой алгоритма генерации доменов (DGA) для отказоустойчивой связи командования и управления (C2).
Уточняется, что Octo — банковский троян для Android, произошедший от ExoCompact (2019–2021), который, в свою очередь, был основан на трояне ExoBot, запущенном в 2016 году, исходный код которого был слит в сеть летом 2018 года.
Аналитики ThreatFabric обнаружили первую версию Octo в апреле 2022 года в поддельных приложениях для «чистки памяти телефона» в Google Play. В отчёте ThreatFabric тогда подчёркивались возможности вредоносного ПО по мошенничеству на устройстве, которые позволяли его операторам получать широкий доступ к данным жертвы.
Киберпреступные кампании, в рамках которых сейчас распространяется вредонос Octo2, сосредоточены на пользователях в Италии, Польше, Молдове и Венгрии. Однако, поскольку платформа Octo Malware-as-a-Service (MaaS) ранее способствовала атакам по всему миру, в том числе в США, Канаде, Австралии и на Ближнем Востоке, вероятно, вскоре можно будет увидеть киберпреступные кампании с использованием Octo2 и в других регионах.
Эксперты ThreatFabric уточнили, что Octo2 — это плавное обновление первой версии, постепенно улучшающее вредоносное ПО, а не внедряющее революционные изменения или переписывающее код с нуля. Во-первых, автор вредоносного ПО ввёл новую настройку низкого качества в модуле инструмента удалённого доступа (RAT) под названием SHIT_QUALITY, которая сводит передачу данных к минимуму, обеспечивая более надёжное соединение, когда скорость интернет-соединения неудовлетворительна.
Octo2 также расшифровывает свою полезную нагрузку с помощью собственного кода и усложняет анализ, динамически загружая дополнительные библиотеки во время выполнения, что ещё больше улучшает его и без того сильные возможности уклонения.
Оригинал публикации на сайте CISOCLUB: "Новый вирус Octo для Android выдаёт себя за NordVPN и Google Chrome".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
