Експерти з кібербезпеки компанії ThreatFabric виявили нову версію небезпечного банківського трояна для Android під назвою Octo2. Цей шкідливий програмний засіб є еволюцією попереднього трояна Octo і становить серйозну загрозу для користувачів смартфонів, особливо в країнах Європи.
Особливості та вдосконалення Octo2
Octo2 відрізняється від свого попередника низкою вдосконалень, спрямованих на підвищення ефективності атак та ускладнення виявлення:
- Підвищена стійкість до виявлення та аналізу
- Використання алгоритму генерації доменів (DGA) для зв’язку з командними серверами
- Удосконалений механізм шифрування корисного навантаження
- Динамічне завантаження додаткових бібліотек під час виконання
Методи розповсюдження та маскування
Наразі Octo2 поширюється переважно в Італії, Польщі, Молдові та Угорщині. Зловмисники маскують троян під популярні додатки:
- NordVPN (com.handedfastee5)
- Google Chrome (com.havirtual06numberresources)
- Europe Enterprise (com.xsusb_restore3)
Для обходу захисних механізмів Android 13 та новіших версій ОС, Octo2 використовує сервіс Zombinder для інтеграції шкідливого коду в легітимні APK-файли.
Функціональність та можливості Octo2
Octo2 успадкував більшість можливостей свого попередника, включаючи:
- Кейлоггінг
- Перехоплення SMS та push-повідомлень
- Блокування екрану пристрою
- Відключення звуку
- Запуск довільних додатків
- Використання зараженого пристрою для розсилки SMS
Крім того, розробники впровадили нову функцію SHIT_QUALITY для модуля віддаленого доступу, яка оптимізує передачу даних при поганому інтернет-з’єднанні.
Потенційні загрози та рекомендації з безпеки
Хоча Octo2 поки не виявлено в офіційному магазині Google Play, експерти попереджають про можливе розширення географії атак через модель розповсюдження malware-as-a-service (MaaS). Для захисту від зараження рекомендується:
- Встановлювати додатки лише з офіційного магазину Google Play
- Регулярно оновлювати операційну систему та антивірусне програмне забезпечення
- Бути обережним при відкритті посилань та завантаженні файлів з неперевірених джерел
Поява Octo2 демонструє постійну еволюцію кіберзагроз та необхідність підвищеної пильності користувачів Android-пристроїв. Регулярне оновлення знань про актуальні загрози та дотримання базових правил кібергігієни допоможуть значно знизити ризик зараження шкідливим програмним забезпеченням.
