Нов банков злонамерен софтуер за Android, наречен Octo, се появи в интернет пространството, включващ възможности за отдалечен достъп, които позволяват на злонамерените оператори да извършват измами.
Octo е зловреден софтуер, разработен за Android, базиран на трояна Exo.
Важната нова функция на Octo в сравнение с ExoCompact е усъвършенстван модул за отдалечен достъп, който позволява на участниците в заплахата да извършват измами на устройството чрез дистанционно управление на компрометираното устройство с Android.
Octo използва наслагване на черен екран, за да скрие отдалечените операции на жертвата, настройва яркостта на екрана на нула и деактивира всички известия, като активира режима „без прекъсване“.
Когато направи устройството да изглежда изключено, зловредният софтуер може да изпълнява различни задачи, без жертвата да знае. Тези задачи включват докосвания на екрана, жестове, писане на текст, промяна в клипборда, поставяне на данни и превъртане нагоре и надолу.
Освен системата за отдалечен достъп, Octo разполага и с мощен кейлогър, който може да наблюдава и улавя всички действия на жертвите на заразени устройства с Android.
Това включва въведени ПИН кодове, отворени уебсайтове, събития, променящи фокуса и събития с промяна на текста.
Octo поддържа обширен списък от команди, като най-важните са:
Блокирайте насочени известия от определени приложения
Активирайте прихващането на SMS
Деактивирайте звука и временно заключете екрана на устройството
Стартирайте определено приложение
Стартиране/спиране на сесията за отдалечен достъп
Актуализирайте списъка на C2s
Отворете посочения URL
Изпратете SMS с посочен текст до определен телефонен номер
Трябва да се отбележи, че докато повечето публикации в XSS са на руски, почти всички публикации между Octo и потенциални абонати са написани на английски.
Пълният списък с известни приложения за Android, съдържащи зловредния софтуер Octo е изброен по-долу:
- Pocket Screencaster (com.moh.screen)
- Fast Cleaner 2021 (vizeeva.fast.cleaner)
- Play Store (com.restthe71)
- Postbank Security (com.carbuildz)
- Pocket Screencaster (com.cutthousandjs)
- BAWAG PSK Security (com.frontwonder2), and
- Play Store app install (com.theseeye5)
Троянските коне, включващи модули за отдалечен достъп, стават все по-често срещани, което прави стабилните стъпки за защита на акаунта като двуфакторни кодове, остарели, тъй като заплахата контролира напълно устройството и неговите акаунти, в които сте влезли.
Всичко, което потребителят види на екрана на устройството си, става в рамките на достъпа на тези варианти на злонамерен софтуер, така че след заразяването никоя информация не е безопасна и нито една мярка за защита не е ефективна.
Въпреки това потребителите трябва да останат бдителни, да поддържат броя на приложенията инсталирани на своите смартфони минимален и редовно да проверяват, за да гарантират, че Play Protect е активиран.
За повече информация: https://www.bleepingcomputer.com/news/security/new-android-banking-malware-remotely-takes-control-of-your-device/