Egy új Octo Android kártevő változat, az „Octo2”, terjed Európa-szerte, olyan alkalmazásoknak álcázva magát, mint a NordVPN, a Google Chrome, vagy az „Europe Enterprise” nevű applikáció. A ThreatFabric elemzése szerint az új variáns javított stabilitással, fejlettebb anti-elemző és anti-felderítő mechanizmusokkal, valamint egy domain generációs algoritmus (DGA) rendszerrel rendelkezik, amely megerősíti a parancs- és irányító kommunikációt (C2).
Rövid története és fejlődése
Az Octo egy Android banki trójai, amely az ExoCompact-ból (2019-2021) fejlődött ki, amely maga is az ExoBot trójain alapult, amely 2016-ban indult, és forráskódja 2018 nyarán szivárgott ki. A ThreatFabric 2022 áprilisában fedezte fel az Octo első változatát, amely álfertőtlenítő alkalmazásokban volt jelen a Google Play áruházban. Az akkori jelentés kiemelte a kártevő azon képességeit, amelyek lehetővé tették az eszközök közvetlen manipulálását és a felhasználók adatainak hozzáférését.
Az Octo v1 többek között támogatta a billentyűleütés naplózását, az eszközön való navigációt, az SMS és push értesítések lehallgatását, a képernyőzár beállítását, a hangok elnémítását, valamint tetszőleges alkalmazások indítását. Az idei évben az Octo kiszivárgott, ami számos új változat megjelenéséhez vezetett, csökkentve az eredeti készítő, „Architect” bevételeit. Válaszképp Architect bejelentette az Octo2 verziót, és különleges kedvezményt hirdetett az Octo v1 ügyfelei számára.
Octo2 tevékenysége Európában
Ahogy azt a kifejti, jelenleg az Octo2 kampányai Olaszországra, Lengyelországra, Moldovára és Magyarországra koncentrálnak, de a korábbi tapasztalatok alapján a kártevő globálisan is elérhetővé válhat, többek között az Egyesült Államokban, Kanadában, Ausztráliában és a Közel-Keleten is.
Európában a fenyegetésre specializálódott csoportok hamis NordVPN és Google Chrome alkalmazásokat, valamint egy „Europe Enterprise” nevű applikációt használnak csaliként a támadásokhoz. Az Octo2 a Zombider szolgáltatást használja a rosszindulatú kód integrálására az APK fájlokba, megkerülve az Android 13 és újabb verziók biztonsági korlátozásait.
Stabilabb, rejtőzködőbb, fejlettebb
Az Octo2 inkább egy folyamatos fejlesztés, amely apránként javítja az előző verziót, mintsem alapvető változtatásokat hozna. Az új verzió tartalmaz egy alacsony minőségű beállítást („SHIT_QUALITY”) a távoli hozzáférési eszköz (RAT) modulban, amely minimálisra csökkenti az adatátvitelt, így stabilabb kapcsolatot biztosít gyenge internetkapcsolat esetén.
Az Octo2 ezenkívül natív kódot használ a payload dekódolásához, és dinamikusan tölti be a további könyvtárakat, ezzel még bonyolultabbá téve az elemzést és tovább növelve a rejtőzködési képességeit. Továbbá a DGA-alapú C2 domain rendszer lehetővé teszi a kártevő számára, hogy gyorsan frissítse és váltson új C2 szerverekre, így hatástalanítva a blokkoló listákat és növelve a stabilitást a szerver leállítási kísérletekkel szemben.
Az Octo2 jelenleg nincs jelen a Google Play áruházban, így a terjesztése valószínűleg harmadik féltől származó alkalmazásboltokra korlátozódik, amelyeket az Android felhasználóknak érdemes elkerülniük.