Octo — новое вредоносное ПО для Android-банкинга с богатым наследием

Время от времени мы узнаем о критически важных вредоносных программах для Android, которые произошли от известного или давно существующего вредоносного кода. Исследователи кибербезопасности в ThreatFabric недавно обнаружил одну такую ​​угрозу, которая позволяет злоумышленнику удаленно выполнять мошенничество на устройстве. Этот троян удаленного доступа (RAT), получивший название Octo, произошел от семейства вредоносных программ Exobot.

Exobot — это банковское вредоносное ПО для Android, впервые появившееся на сцене в 2016 году. Создатель угрозы поддерживал этот вредоносный код до 2018 года, и сообщения об эксплойтах поступали из разных уголков мира. Автор этой вредоносной программы продал исходный код в 2018 году, но вскоре он стал достоянием общественности.

Тем временем Exobot породил новую RAT под названием ExobotCompact. Недавно обнаруженное банковское вредоносное ПО Octo Android представляет собой его обновленную версию с несколькими новыми функциями.

Octo может скрывать свои мошеннические действия на устройствах

При мошенничестве на устройстве или ODF злоумышленник получает удаленный доступ к устройству жертвы и выполняет транзакции или другие действия без их ведома. Поскольку все мошенничество происходит на самом устройстве, ODF является самым опасным и незаметным видом мошенничества, ThreatFabric примечания.

Для выполнения удаленных действий злоумышленнику необходимо транслировать экран устройства жертвы. Вредоносная программа Octo использует для этого встроенные сервисы Android: MediaProjection для потоковой передачи экрана (обновляется каждую секунду) и AccessibilityService для выполнения действий. Это обманывает механизмы защиты от мошенничества на устройстве, заставляя их думать, что владелец работает на устройстве, а не злоумышленник удаленно.

Как только злоумышленник получает контроль над вашим устройством, он использует наложение черного экрана, чтобы скрыть свои удаленные действия от жертвы. Яркость экрана установлена ​​на ноль, а режим «не беспокоить» включен для отключения всех уведомлений. Устройство будет казаться жертве выключенным, пока злоумышленник удаленно выполняет различные действия. Вредонос может просматривать данные буфера обмена, копировать/вырезать и вставлять текст, прокручивать и нажимать на экран, а также выполнять жесты.

Кейлоггер Octo также позволяет злоумышленнику перехватывать все, что жертва вводит на устройстве. Это могут быть любые сообщения или конфиденциальная информация, такая как PIN-код, пароль и банковские учетные данные. Если у какого-то злоумышленника есть эта информация, вы можете предположить, какой ущерб вы можете понести.

Вредоносная программа также может удаленно выполнять десятки других действий. Он может блокировать push-уведомления от определенных приложений, включать перехват SMS или отправлять SMS на любой номер телефона. Другие возможности включают в себя открытие определенного веб-сайта, запуск/остановку сеансов удаленного доступа, запуск приложения, отключение звука и временную блокировку экрана устройства.

Несколько приложений для Android использовали вредоносное ПО Octo

Согласно новому отчету ThreatFabric, банковское вредоносное ПО Octo Android было обнаружено в нескольких приложениях для Android. К ним относится приложение под названием «Fast Cleaner» с более чем 50 000 установок из магазина Google Play. После обнаружения вредоносного ПО Google удалил приложение из Play Store в феврале 2022 года. Другие затронутые приложения включают Pocket Screencaster, Fast Cleaner 2021, Play Store, Postbank Security, Pocket Screencaster (другое название пакета), BAWAG PSK Security и Play Store. установка приложения.

Страшно подумать, что вредоносное ПО с такой мощью все еще существует. Эти RAT делают все шаги защиты учетной записи, такие как двухфакторная аутентификация (2FA), устаревшими. Злоумышленник получает полный контроль над устройством жертвы и, по сути, ее зарегистрированными учетными записями. В виде Пищит Компьютер отмечает, что «никакая информация не является безопасной, и никакая мера защиты не эффективна», когда вредоносное ПО попадает на ваше устройство. Всегда устанавливайте только надежные приложения и из надежных источников. Не устанавливайте нежелательные приложения и включите Play Защиту для поиска вредоносных приложений.