Ένα νέο τραπεζικό Android malware με το όνομα Octo, το οποίο διαθέτει δυνατότητες απομακρυσμένης πρόσβασης, επιτρέπει σε κακόβουλους χειριστές να πραγματοποιούν απάτες.
Το Octo είναι ένα εξελιγμένο Android malware που βασίζεται στο ExoCompact, μια παραλλαγή κακόβουλου λογισμικού που βασίζεται στο trojan Exo, το οποίο βγήκε από το προσκήνιο του εγκλήματος στον κυβερνοχώρο και διέρρευσε τον πηγαίο κώδικά του το 2018.
- Η νέα παραλλαγή ανακαλύφθηκε από ερευνητές στη ThreatFabric, οι οποίοι παρατήρησαν αρκετούς χρήστες που ήθελαν να την αγοράσουν σε φόρουμ darknet.
Το σημαντικό νέο χαρακτηριστικό του Octo σε σύγκριση με το ExoCompact, είναι μια προηγμένη μονάδα απομακρυσμένης πρόσβασης που επιτρέπει στους παράγοντες απειλών να εκτελούν απάτη στη συσκευή (ODF) ελέγχοντας εξ αποστάσεως την παραβιασμένη συσκευή Android.
Η απομακρυσμένη πρόσβαση παρέχεται μέσω μιας μονάδας ροής ζωντανής οθόνης, που ενημερώνεται κάθε δευτερόλεπτο, μέσω του MediaProjection του Android και απομακρυσμένων ενεργειών μέσω της Υπηρεσίας Προσβασιμότητας.
Το Octo χρησιμοποιεί μια μαύρη επικάλυψη οθόνης για να κρύψει τις απομακρυσμένες λειτουργίες του θύματος, μηδενίζει τη φωτεινότητα της οθόνης και απενεργοποιεί όλες τις ειδοποιήσεις ενεργοποιώντας τη λειτουργία “χωρίς διακοπές“.
Κάνοντας τη συσκευή να φαίνεται απενεργοποιημένη, το κακόβουλο λογισμικό μπορεί να εκτελέσει διάφορες εργασίες χωρίς να το γνωρίζει το θύμα. Αυτές οι εργασίες περιλαμβάνουν πατήματα οθόνης, σύνταξη κειμένου, τροποποίηση του προχείρου, επικόλληση δεδομένων και κύλιση προς τα πάνω και προς τα κάτω.
Εκτός από το σύστημα απομακρυσμένης πρόσβασης, το Android malware Octo διαθέτει επίσης ένα ισχυρό keylogger που μπορεί να παρακολουθεί και να καταγράφει όλες τις ενέργειες των θυμάτων σε μολυσμένες συσκευές Android.
Αυτό περιλαμβάνει εισαγόμενα PIN, ανοιχτούς ιστότοπους, κλικ και στοιχεία στα οποία έγινε κλικ, συμβάντα που αλλάζουν εστίαση και συμβάντα αλλαγής κειμένου.
Τέλος, το Octo υποστηρίζει μια εκτενή λίστα εντολών, οι πιο σημαντικές από τις οποίες είναι:
- Αποκλεισμός ειδοποιήσεων push από συγκεκριμένες εφαρμογές
- Ενεργοποίηση παρακολούθησης SMS
- Απενεργοποίηση ήχου και προσωρινό κλείδωμα της οθόνης της συσκευής
- Εκκίνηση μιας καθορισμένης εφαρμογής
- Έναρξη/διακοπή συνεδρίας απομακρυσμένης πρόσβασης
- Ενημέρωση λίστας C2
- Άνοιγμα καθορισμένου URL
- Αποστολή SMS με καθορισμένο κείμενο σε έναν καθορισμένο αριθμό τηλεφώνου
Το Octo πωλείται σε φόρουμ, όπως το ρωσόφωνο φόρουμ χάκερ XSS, από έναν παράγοντα απειλών που χρησιμοποιεί το ψευδώνυμο “Αρχιτέκτονας” ή “καλή τύχη”.
Αξίζει ιδιαίτερα να σημειωθεί, ενώ οι περισσότερες αναρτήσεις στο XSS είναι στα ρωσικά, σχεδόν όλες οι αναρτήσεις μεταξύ του Octo και των πιθανών συνδρομητών έχουν γραφτεί στα Αγγλικά.
Λόγω των εκτεταμένων ομοιοτήτων με το ExoCompact, συμπεριλαμβανομένης της επιτυχίας στη δημοσίευση του Google Play, της λειτουργίας απενεργοποίησης του Google Protect και του συστήματος προστασίας αντίστροφης μηχανικής, η ThreatFabric πιστεύει ότι υπάρχει μεγάλη πιθανότητα ο ‘Architect‘ να είναι είτε ο ίδιος συγγραφέας είτε νέος κάτοχος του πηγαίου κώδικα του ExoCompact.
Τα Trojans που διαθέτουν μονάδες απομακρυσμένης πρόσβασης γίνονται όλο και πιο συνηθισμένα, καθιστώντας τα ισχυρά βήματα προστασίας λογαριασμού, όπως κωδικούς δύο παραγόντων, ξεπερασμένα, καθώς ο παράγοντας απειλής ελέγχει πλήρως τη συσκευή και τους συνδεδεμένους λογαριασμούς της.
Οτιδήποτε βλέπει ο χρήστης στην οθόνη της συσκευής του γίνεται εντός της πρόσβασης αυτών των παραλλαγών κακόβουλου λογισμικού, επομένως μετά τη μόλυνση, καμία πληροφορία δεν είναι ασφαλής και κανένα μέτρο προστασίας δεν είναι αποτελεσματικό.
Τούτου λεχθέντος, οι χρήστες πρέπει να παραμείνουν σε επαγρύπνηση, να διατηρήσουν τον αριθμό των εγκατεστημένων εφαρμογών στα smartphone τους στο ελάχιστο και να ελέγχουν τακτικά για να διασφαλίζουν ότι το Play Protect είναι ενεργοποιημένο.
