新的 Octo Android 恶意软件版本冒充 NordVPN、Google Chrome admin 119591文章 95评论 2024年9月28日09:36:59评论12 views字数 1361阅读4分32秒阅读模式 一种名为“Octo2”的 Octo Android 恶意软件新版本已被发现以 NordVPN、Google Chrome 和一款名为 Europe Enterprise 的应用程序为幌子在欧洲传播。 经 ThreatFabric 分析,新变种具有更好的运行稳定性、更先进的反分析和反检测机制,以及用于弹性命令和控制 (C2) 通信的域生成算法 (DGA) 系统。 最终,它在外界的出现证实了该项目尽管最近经历了动荡,但仍充满活力且不断发展。 简史和演变 Octo 是一种 Android 银行木马,由 ExoCompact(2019-2021)演变而来,而 ExoCompact 本身基于 2016 年推出的 ExoBot 木马,其源代码于 2018 年夏天在网上泄露。 ThreatFabric 于 2022 年 4 月在 Google Play 上的假冒清理应用中发现了 Octo 的第一个版本。TF 当时的报告强调了该恶意软件的设备欺诈能力,这使得其运营商能够广泛访问受害者的数据。 除此之外,Octo v1 还支持键盘记录、设备导航、短信和推送通知拦截、设备屏幕锁定、静音、任意应用程序启动以及使用受感染的设备分发短信。 ThreatFabric 表示,Octo 今年遭到泄露,导致多种恶意软件分支在野外出现,这可能会对其原创者“Architect”的销量造成影响。 在这些事件发生后,Architect 宣布推出 Octo2,这很可能是为了将升级版本投放到恶意软件市场并引起网络犯罪分子的兴趣。该恶意软件的创建者甚至宣布为 Octo v1 客户提供特别折扣。 Octo2 在欧洲的运营 目前部署 Octo2 的攻击活动主要集中在意大利、波兰、摩尔多瓦和匈牙利。然而,由于 Octo 恶意软件即服务 (MaaS) 平台之前曾在全球范围内发动攻击,包括美国、加拿大、澳大利亚和中东,我们很可能很快会看到 Octo2 攻击活动出现在其他地区。 在欧洲行动中,威胁行为者使用假的 NordVPN 和 Google Chrome 应用程序以及欧洲企业应用程序,这很可能是用于有针对性攻击的诱饵。 Octo2 使用Zombider 服务将恶意负载添加到这些 APK 中,同时绕过 Android 13(及更高版本)的安全限制。 更稳定、更灵敏、更强大 Octo2 更像是第一个版本的滚动升级,逐步改进恶意软件,而不是实施突破性的改变或从头开始重写代码。 首先,恶意软件作者在远程访问工具 (RAT) 模块上引入了一个名为“SHIT_QUALITY”的新低质量设置,该设置将数据传输减少到最低限度,从而在互联网连接速度低于标准时实现更可靠的连接。 Octo2 还使用本机代码解密其有效负载,并通过在执行期间动态加载附加库来使分析复杂化,从而进一步提高其本已强大的逃避能力。 最后,Octo2 引入了基于 DGA 的 C2 域系统,允许操作员快速更新并切换到新的 C2 服务器,从而使黑名单无效并提高抵御服务器删除尝试的能力。 ThreatFabric 还指出,Octo2 现在收到了拦截和阻止推送通知的应用程序列表,从而允许运营商优化他们的目标范围。 Octo2 尚未在 Google Play 上发现,因此目前认为其分发仅限于第三方应用商店,Android 用户应避免使用。 信息来源:BleepingComputer 原文始发于微信公众号(犀牛安全):新的 Octo Android 恶意软件版本冒充 NordVPN、Google Chrome 点赞 http://cn-sec.com/archives/3216698.html 复制链接 复制链接 左青龙 微信扫一扫 右白虎 微信扫一扫
评论