Cybersicherheitsexperten von ThreatFabric haben eine neue, verbesserte Version des gefährlichen Android-Trojaners Octo entdeckt. Der als Octo2 bezeichnete Schädling zielt aktuell auf Nutzer in mehreren europäischen Ländern ab und tarnt sich als populäre Apps wie NordVPN und Google Chrome. Die Entdeckung unterstreicht die ständige Weiterentwicklung von Mobile-Malware und die Notwendigkeit erhöhter Wachsamkeit bei der Nutzung von Android-Geräten.
Verbesserte Funktionen und Verbreitung von Octo2
Octo2 zeichnet sich durch erhöhte Widerstandsfähigkeit, verbesserte Anti-Analyse- und Anti-Erkennungsmechanismen aus. Eine bedeutende Neuerung ist die Implementierung eines Domain Generation Algorithm (DGA), der die Kommunikation mit Command-and-Control-Servern deutlich erschwert. Diese Technologie ermöglicht es den Angreifern, schnell auf neue Server umzuschalten und macht es Sicherheitsforschern schwerer, die Infrastruktur zu neutralisieren.
Derzeit konzentrieren sich die Octo2-Kampagnen auf Nutzer in Italien, Polen, Moldawien und Ungarn. Der Trojaner wird als Malware-as-a-Service (MaaS) angeboten, was eine rasche Ausbreitung in weitere Regionen wahrscheinlich macht. Besonders besorgniserregend ist die Tarnung als beliebte Apps wie:
- NordVPN (com.handedfastee5)
- Google Chrome (com.havirtual06numberresources)
- Europe Enterprise (com.xsusb_restore3)
Technische Verbesserungen und Gefahrenpotenzial
Octo2 nutzt den Zombinder-Dienst, um schädliche Payloads in APK-Dateien einzuschleusen und so Schutzmechanismen in Android 13 und neueren Versionen zu umgehen. Obwohl es sich eher um ein Update als eine komplette Neuentwicklung handelt, bringt Octo2 einige bemerkenswerte technische Verbesserungen mit sich:
- Eine neue „SHIT_QUALITY“-Einstellung für das Remote-Access-Modul, die bei schlechter Internetverbindung eine stabilere, wenn auch qualitativ minderwertige Verbindung gewährleistet
- Entschlüsselung der Payload mittels nativem Code
- Dynamisches Laden zusätzlicher Bibliotheken zur Laufzeit, was die Analyse erschwert
Diese Verbesserungen machen Octo2 zu einer ernstzunehmenden Bedrohung für Android-Nutzer. Der Trojaner ermöglicht seinen Betreibern umfangreichen Zugriff auf Gerätedaten, kann Tastatureingaben aufzeichnen, SMS und Push-Benachrichtigungen abfangen sowie den Bildschirm sperren und den Ton deaktivieren.
Ursprung und Entwicklung von Octo
Der ursprüngliche Octo-Trojaner war von 2019 bis 2021 aktiv und basierte auf der ExobotCompact-Malware, einer „abgespeckten“ Version des bekannten Exobot-Trojaners. Nachdem der Quellcode von Octo Anfang dieses Jahres geleakt wurde, entstanden zahlreiche Ableger. Dies führte offenbar zu einem Rückgang der Verkäufe für den als „Architect“ bekannten Entwickler, der daraufhin Octo2 ankündigte und sogar Sonderrabatte für Nutzer der ersten Octo-Version anbot.
Die Entwicklung von Octo2 zeigt, wie dynamisch und anpassungsfähig die Cyberkriminalität im mobilen Bereich ist. Um sich vor solchen Bedrohungen zu schützen, sollten Android-Nutzer äußerst vorsichtig beim Herunterladen von Apps aus Drittanbieter-Quellen sein und ihre Geräte stets mit den neuesten Sicherheitsupdates versorgen. Regelmäßige Überprüfungen auf verdächtige App-Berechtigungen und die Verwendung zuverlässiger Mobile-Security-Lösungen können ebenfalls dazu beitragen, das Risiko einer Infektion zu minimieren.
