Android-троян Octo выдает себя за Google Chrome и NordVPN

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.009
Репутация
11.595
Реакции
61.853
RUB
50
Банковский Android-троян Octo повысил стабильность работы как RAT, стал ловчее избегать анализа и обнаружения, а также обрел DGA для отказоустойчивой C2-связи.

Версию Octo2 уже активно раздают под видом NordVPN и Google Chrome. Изучение новых образцов в ThreatFabric обнаружило сокращение задержек во время сеансов удаленного доступа. У операторов зловреда также появилась опция SHIT_QUALITY, позволяющая снизить качество отправляемых вредоносом скриншотов (объем данных) на сетях с плохой связью.

Q89V14jlfCRG-7kj1frE-0Y5ybDnmKw7TCPme2mcE2QknYnoVG2nvhIuJ9soYkUlrnBA9_glnxHc2gNUV71jhRLrkXOJcKkwV475o-Wq5S6SCNh1R919n2nmFx6M_OYxQitbnwYbRQh1yQBJnLfAQM40kXP5Mxygyy801VA9hHVjj1XW_Ua8dWGKakHlOQc8hFq5toXPHpnohHeJHDixlvPKSK2GWAcq9ylgCZ8FoPH-1FfAaJBO1lv8NmVBziVGQ5_kdY7EL0WiChigBViFP1XpuEcHbX74CaRkmU2JUZYjyDjdh2gHWaQJ0CssZ_DRDVc3AqgxTNY7DvdVYE0EtRBedbb-dfz10Ct4I1bphw8V-KpUt_886WikJottanNlMUr5v4bqpJtl2HIJ_Weh0wyn1cKbU-x2qW-GltO-JedgvFRX7ndfFjGYuyN1K_ddd9nolHVtTdlah8QpvWpzpwOYyA2W2qbZZDkQewxHg5L9BkSw-iG9J4vPBNcAHgan4RxGVl4UPjXxmlvDthjFXqapyBQ2rP57KcdFe9458LTBOhjsBuuVS9QrQLj_hpBzjsVnU4gh78VaLjYmgU2WN5Lu1Ycfd2xE0vpb03YrNY1kKNrXRV7f2juG5Mt_OQFnERuZnrQIl5n02YHJHgVBkP0GlAJIEf3EK31EVgC_1YfDnuV0XodORaKZu0K3G-Yfh_qZ1PWc_jubthT4LKqTVAFL639lKSV5REvhu0-UwbJetBSzSNHMxFgfBoRSbOdF4j2H578FfeVi2NmhpYmk3XRo6VSnHv_7mwZ2OZ8IMwVAqytfZMqFC8XZwFhvlpJzj2cmAKiDnUeoPcU2Q81E5zPtlhQ-5AxEQEkbkjb79QzWmJokpmxsO-mH9Iu-y1G1QNmJ3zYLxrpnOiDJPDXgAj6XtcCL4c3HWW5WpKG-VfeRzSWEnpa-JtEoOyOkO8RcxlnaJ3dMTHh7BpUas



Вирусописатели также усложнили процесс расшифровки полезной нагрузки, разделив его на несколько этапов, и добавили генератор ключей для шифрования данных, передаваемых на C2.

Ранее такой ключ был вшит в код; теперь банкер создает его сам, притом при каждой отправке запроса. Использование проприетарного DGA (алгоритма генерации доменных имен) позволяет оператору Octo2 быстро заменить C2-сервер в случае блокировки — поднять новый и переадресовать свой семпл.

Новая версия Android-трояна пока распространяется через репаки легитимных приложений, созданные с помощью Zombinder:

  • Google Chrome (результат VirusTotal — 21/67 на 21 сентября);
  • NordVPN (21/53 на 24 сентября);
  • Europe Enterprise (19/69 на 13 сентября).

Вредоносные атаки зафиксированы в Италии, Венгрии, Польше и Молдавии. Мобильного банкера Octo голландские эксперты впервые обнаружили весной 2022 года. Проанализировав образцы, они пришли к выводу, что это прямой потомок Exobot, построенного на основе кода Marcher.

В этом году исходники Octo были слиты в Сеть, породив множество форков. В результате владельцы зловреда, видимо, решили усовершенствовать его, чтобы сохранить конкурентоспособность.

image1Octo2.png



 
  • Теги
    банковский android-троян
  • Сверху Снизу