Експерти з кібербезпеки компанії ThreatFabric виявили нову версію небезпечного банківського трояна для Android під назвою Octo2. Цей шкідливий програмний засіб є еволюцією попереднього трояна Octo і становить серйозну загрозу для користувачів смартфонів, особливо в країнах Європи.

Особливості та вдосконалення Octo2

Octo2 відрізняється від свого попередника низкою вдосконалень, спрямованих на підвищення ефективності атак та ускладнення виявлення:

• Підвищена стійкість до виявлення та аналізу
• Використання алгоритму генерації доменів (DGA) для зв’язку з командними серверами
• Удосконалений механізм шифрування корисного навантаження
• Динамічне завантаження додаткових бібліотек під час виконання

Методи розповсюдження та маскування

Наразі Octo2 поширюється переважно в Італії, Польщі, Молдові та Угорщині. Зловмисники маскують троян під популярні додатки:

• NordVPN (com.handedfastee5)
• Google Chrome (com.havirtual06numberresources)
• Europe Enterprise (com.xsusb_restore3)

Для обходу захисних механізмів Android 13 та новіших версій ОС, Octo2 використовує сервіс Zombinder для інтеграції шкідливого коду в легітимні APK-файли.

Функціональність та можливості Octo2

Octo2 успадкував більшість можливостей свого попередника, включаючи:

• Кейлоггінг
• Перехоплення SMS та push-повідомлень
• Блокування екрану пристрою
• Відключення звуку
• Запуск довільних додатків
• Використання зараженого пристрою для розсилки SMS

Крім того, розробники впровадили нову функцію SHIT_QUALITY для модуля віддаленого доступу, яка оптимізує передачу даних при поганому інтернет-з’єднанні.

Потенційні загрози та рекомендації з безпеки

Хоча Octo2 поки не виявлено в офіційному магазині Google Play, експерти попереджають про можливе розширення географії атак через модель розповсюдження malware-as-a-service (MaaS). Для захисту від зараження рекомендується:

• Встановлювати додатки лише з офіційного магазину Google Play
• Регулярно оновлювати операційну систему та антивірусне програмне забезпечення
• Бути обережним при відкритті посилань та завантаженні файлів з неперевірених джерел

Поява Octo2 демонструє постійну еволюцію кіберзагроз та необхідність підвищеної пильності користувачів Android-пристроїв. Регулярне оновлення знань про актуальні загрози та дотримання базових правил кібергігієни допоможуть значно знизити ризик зараження шкідливим програмним забезпеченням.