بدافزار Octo یک بدافزار اندرویدی تکامل یافته مبتنی بر ExoCompact است.
ویژگی مهم بدافزار Octo داشتن یک ماژول دسترسی از راه دور بسیار پیشرفته است.
بدافزار بانکی اندروید Octo دارای قابلیت های دسترسی از راه دور است که به اپراتورهای مخرب اجازه می دهد تا به دستگاه شما دستبرد بزنند.
بدافزار Octo یک بدافزار اندرویدی تکامل یافته مبتنی بر ExoCompact است، یک نوع بدافزار مبتنی بر تروجان Exo که از فضای جرایم سایبری خارج شد و کد منبع آن در سال 2018 فاش شد.
قابلیت های کلاهبرداری روی دستگاه
ویژگی جدید مهم بدافزار Octo در مقایسه با ExoCompact یک ماژول دسترسی از راه دور پیشرفته است که به عوامل تهدید امکان می دهد با کنترل از راه دور دستگاه اندرویدی آسیب دیده، کلاهبرداری روی دستگاه انجام دهند.
دسترسی از راه دور از طریق یک ماژول پخش زنده از صفحه نمایش (هر ثانیه اسکرین گرفته می شود) از طریق MediaProjection Android و اقدامات از راه دور از طریق سرویس دسترسی ارائه می شود.
بدافزار Octo از یک پوشش صفحه سیاه برای پنهان کردن عملیات از راه دور قربانی استفاده می کند، روشنایی صفحه را صفر می کند و با فعال کردن حالت ” no interruption” همه اعلان ها را غیرفعال می کند.
با این کار بدافزار می تواند کارهای مختلفی را بدون اطلاع قربانی انجام دهد. این کارها شامل ضربه زدن روی صفحه، ژستهای حرکتی، نوشتن متن، اصلاح کلیپبورد، چسباندن دادهها و پیمایش بالا و پایین است.
کلاهبرداری روی دستگاه امکان تصاحب کامل دستگاه در معرض خطر را فراهم می کند
منبع: ThreatFabric
به غیر از سیستم دسترسی از راه دور، بدافزار Octo همچنین دارای یک کی لاگر قدرتمند است که می تواند تمام اقدامات قربانیان را در دستگاه های اندرویدی آلوده نظارت و ضبط کند.
که این شامل پینهای وارد شده، وبسایتهای باز شده، کلیکها و عناصر کلیکشده میشود.
توصیه هایی در مورد بدافزار Octo :
- نوتیفیکیشن را از برنامههای مشخصی مسدود کنید.
- رهگیری پیامک را فعال کنید.
- صدا را غیرفعال کنید و صفحه دستگاه را به طور موقت قفل کنید.
- یک برنامه مشخص را راه اندازی کنید.
- شروع/توقف جلسه دسترسی از راه دور.
- لیست C2 ها را به روز کنید.
- URL مشخص شده را باز کنید.
- پیامک را با متن مشخص به شماره تلفن مشخص شده ارسال کنید.
اسناد بدافزار Octo
بدافزار Octo در انجمنهایی مانند انجمن روسیزبان هک XSS توسط یک شخصی با نام مستعار « Architect» یا « goodluck» فروخته میشود.
در حالی که اکثر پستها در XSS به زبان روسی هستند، تقریباً همه پستهای بین Octo و مشترکین احتمالی به زبان انگلیسی نوشته شدهاند.
با توجه به شباهتهای گسترده با ExoCompact، از جمله انتشار در Google Play، عملکرد غیرفعال کردن Google Protect و سیستم حفاظت مهندسی معکوس، ThreatFabric معتقد است که شانس خوبی وجود دارد که « Architect» همان نویسنده یا مالک جدید کد منبع ExoCompact باشد.
ExoCompact همچنین دارای یک ماژول ساده تر دسترسی از راه دور است و پنل مدیریتی مشابه Octo دارد.
پنل Octo
منبع: ThreatFabric
بنابراین با در نظر گرفتن این نتایج نتیجه میگیریم که ExobotCompact به تروجان بانکی Octo تغییر نام داده است.
برنامههای اخیر Google Play که دستگاهها را به Octo آلوده کردهاند شامل برنامهای به نام «Fast Cleaner» است که تا فوریه 2022، زمانی که کشف و حذف شد 50000 نصب داشت.
برنامه Fast Cleaner که Octo را به قربانیان تحویل می دهد
منبع: ThreatFabric
سایر آلودگی های بدافزار Octo متکی به سایتهایی بودند که از نوتیفیکیشن های جعلی مربوط به بهروزرسانی مرورگر یا هشدارهای جعلی بهروزرسانی اپلیکیشن Play Store استفاده میکردند.
اعلامیه بهروزرسانی جعلی مرورگر برای نصب بدافزار Octo
منبع: ThreatFabric
برخی از اپراتورهای Octo پس از پایان عملیات Fast Cleaner با استفاده از اپلیکیشنی به نام «Pocket Screencaster» توانستند دوباره به Play Store نفوذ کنند.
لیست برنامه های شناخته شده ی اندروید حاوی بدافزار Octo در زیر فهرست شده است:
- Pocket Screencaster (com.moh.screen)
- Fast Cleaner 2021 (vizeeva.fast.cleaner)
- Play Store (com.restthe71)
- Postbank Security (com.carbuildz)
- Pocket Screencaster (com.cutthousandjs)
- BAWAG PSK Security (com.frontwonder2), and
- Play Store app install (com.theseeye5)
بدافزار Octo دارای ماژولهای دسترسی از راه دور هستند و مراحل حفاظت از حساب کاربری قوی مانند کدهای دوعاملی را منسوخ میکند، زیرا عامل تهدید به طور کامل دستگاه و حسابهای وارد شده آن را کنترل میکند.
هر چیزی که کاربر بر روی صفحه نمایش دستگاه خود می بیند در دسترس این نوع بدافزارها قرار می گیرد، بنابراین پس از آلوده شدن، هیچ اطلاعاتی ایمن نیست و هیچ اقدام محافظتی موثر نیست.
با این اوصاف، کاربران باید هوشیار باشند، تعداد اپلیکیشنهای نصب شده روی گوشیهای هوشمند خود را به حداقل برسانند و مرتباً بررسی کنند که Play Protect فعال است.
برای فعالسازی آن باید به مسیر زیر بروید:
- Settings -> Google -> Security -> Google Play Protect
جدیدترین لیست اپلیکیشن های آلوده به بدافزار OCTO را که شامل 17 برنامه می باشد در زیر مشاهده می کنید.
منابع:
bleepingcomputer.com
technipages.com
msn.com
ThreatFabric