В дикой природе появилось новое вредоносное ПО для Android-банкинга под названием Octo, обладающее возможностями удаленного доступа, которое позволяет злоумышленникам захватить данные на устройстве.
Octo — это усовершенствованное вредоносное ПО для Android, основанное на ExoCompact, варианте вредоносного ПО, основанном на трояне Exo, который покинул пространство киберпреступности, и его исходный код просочился в 2018 году. Новый вариант был обнаружен исследователями ThreatFabric, которые наблюдали за несколькими пользователями, желающими приобрести его на форумах даркнета.
Важной новой функцией Octo по сравнению с ExoCompact является расширенный модуль удаленного доступа, который позволяет злоумышленникам выполнять мошенничество на устройстве (ODF), удаленно управляя скомпрометированным устройством Android.
Удаленный доступ предоставляется через модуль потоковой передачи экрана в реальном времени (обновляемый каждую секунду) через Android MediaProjection и удаленные действия через службу специальных возможностей.
Octo использует наложение черного экрана, чтобы скрыть удаленные операции жертвы, устанавливает яркость экрана на ноль и отключает все уведомления, активируя режим «без прерывания».
Делая вид, что устройство выключено, вредоносное ПО может выполнять различные задачи без ведома жертвы. Эти задачи включают касания экрана, жесты, ввод текста, изменение буфера обмена, вставку данных и прокрутку вверх и вниз.
Помимо системы удаленного доступа, Octo также имеет мощный кейлоггер, который может отслеживать и фиксировать все действия жертв на зараженных устройствах Android.
