В Европе распространяется новый вариант Android-вредоноса под названием Octo2, который является улучшенной версией Octo (ExobotCompact). По словамспециалистов ThreatFabric, новая версия может существенно повлиять на ландшафт кибербезопасности.
Octo2 – это обновление популярного среди киберпреступников зловреда, распространяемого по модели “вредоносное ПО как услуга” (Malware-as-a-Service, MaaS). Эта версия отличается улучшенными возможностями для удалённого управления устройствами жертвы и использованием новых методов маскировки, включая генерацию доменных имён (DGA), что позволяет обходить защитные механизмы и оставаться незамеченной.
Впервые семейство Exobot было замечено в 2016 году как банковский троян, способный выполнять атаки с наложением интерфейсов, перехватывать звонки и сообщения. В 2019 году появилась облегчённая версия ExobotCompact, а уже в 2021-м – её улучшенная вариация под названием Octo. Именно эта версия и стала основой для дальнейших изменений.
В 2022 году на подпольных форумах киберпреступники активно обсуждали Octo. С тех пор активность вредоносной программы только возрастала, и вскоре её стали использовать в различных регионах мира, включая Европу, США и Азию.
Основное изменение в 2024 году связано с утечкой исходного кода Octo, что привело к появлению нескольких форков программы. Однако наибольшую угрозу представляет оригинальная Octo2, разработанная создателем Octo и распространяемая среди тех, кто ранее использовал первую версию.
В Octo2 были внедрены значительные обновления, в том числе улучшение стабильности удалённого управления устройствами и методы обхода систем анализа и обнаружения. Также в Octo2 внедрена система, которая позволяет перехватывать push-уведомления с устройств жертв и скрывать их, тем самым лишая пользователей важных оповещений. Это создаёт угрозу для множества мобильных приложений, так как злоумышленники могут легко перенаправить данные и выполнить мошеннические действия.
Первые кампании с использованием Octo2 уже были зафиксированы в таких странах, как Италия, Польша, Молдавия и Венгрия. Вредоносное ПО маскируется под популярные приложения, такие как Google Chrome и NordVPN, что помогает незаметно проникать на устройства пользователей.
В обнаруженных кампаниях сервис Zombinder выступает в качестве первого этапа установки: после запуска Zombinder запрашивает установку дополнительного “плагина”, которым на самом деле является Octo2, тем самым успешно обходя ограничения Android 13+.
Zombinder запрашивает разрешение на установку “необходимого плагина” в виде трояна Octo2
Одним из ключевых элементов Octo2 стала интеграция нового метода генерации доменных имён (Domain Generation Algorithm, DGA), что позволяет вредоносной программе динамически изменять серверы управления (C2). Это затрудняет работу исследователей и антивирусных компаний, так как новые домены создаются автоматически, усложняя их блокировку.
Кроме того, в Octo2 использована новая система шифрования данных, передаваемых на серверы управления, с динамическим ключом для каждого запроса, что усиливает защиту от анализа и обнаружения.
С учётом улучшенных возможностей удалённого доступа и скрытности, Octo2 представляет серьёзную угрозу для мобильных пользователей, особенно тех, кто пользуется банковскими приложениями. Программа способна незаметно выполнять мошеннические операции прямо на устройстве жертвы, что делает вредонос одним из самых опасных мобильных троянов.