By | 10 مرداد 1401
0 Comment

بدافزار Octo یک بدافزار اندرویدی تکامل یافته مبتنی بر ExoCompact است.

 

ویژگی مهم بدافزار Octo داشتن یک ماژول دسترسی از راه دور بسیار پیشرفته است.

 

بدافزار بانکی اندروید Octo دارای قابلیت های دسترسی از راه دور است که به اپراتورهای مخرب اجازه می دهد تا به دستگاه شما دستبرد بزنند.

بدافزار Octo یک بدافزار اندرویدی تکامل یافته مبتنی بر ExoCompact است، یک نوع بدافزار مبتنی بر تروجان Exo که از فضای جرایم سایبری خارج شد و کد منبع آن در سال 2018 فاش شد.

 

قابلیت های کلاهبرداری روی دستگاه

ویژگی جدید مهم بدافزار Octo در مقایسه با ExoCompact یک ماژول دسترسی از راه دور پیشرفته است که به عوامل تهدید امکان می دهد با کنترل از راه دور دستگاه اندرویدی آسیب دیده، کلاهبرداری روی دستگاه انجام دهند.

دسترسی از راه دور از طریق یک ماژول پخش زنده از صفحه نمایش (هر ثانیه اسکرین گرفته می شود) از طریق MediaProjection Android و اقدامات از راه دور از طریق سرویس دسترسی ارائه می شود.

بدافزار Octo از یک پوشش صفحه سیاه برای پنهان کردن عملیات از راه دور قربانی استفاده می کند، روشنایی صفحه را صفر می کند و با فعال کردن حالت ” no interruption” همه اعلان ها را غیرفعال می کند.

با این کار بدافزار می تواند کارهای مختلفی را بدون اطلاع قربانی انجام دهد. این کارها شامل ضربه زدن روی صفحه، ژست‌های حرکتی، نوشتن متن، اصلاح کلیپ‌بورد، چسباندن داده‌ها و پیمایش بالا و پایین است.

بدافزار Octo

کلاهبرداری روی دستگاه امکان تصاحب کامل دستگاه در معرض خطر را فراهم می کند

منبع: ThreatFabric

به غیر از سیستم دسترسی از راه دور، بدافزار Octo همچنین دارای یک کی لاگر قدرتمند است که می تواند تمام اقدامات قربانیان را در دستگاه های اندرویدی آلوده نظارت و ضبط کند.

که این شامل پین‌های وارد شده، وب‌سایت‌های باز شده، کلیک‌ها و عناصر کلیک‌شده می‌شود.

توصیه هایی در مورد بدافزار Octo :

  • نوتیفیکیشن را از برنامه‌های مشخصی مسدود کنید.
  • رهگیری پیامک را فعال کنید.
  • صدا را غیرفعال کنید و صفحه دستگاه را به طور موقت قفل کنید.
  • یک برنامه مشخص را راه اندازی کنید.
  • شروع/توقف جلسه دسترسی از راه دور.
  • لیست C2 ها را به روز کنید.
  • URL مشخص شده را باز کنید.
  • پیامک را با متن مشخص به شماره تلفن مشخص شده ارسال کنید.

 

اسناد بدافزار Octo

بدافزار Octo در انجمن‌هایی مانند انجمن روسی‌زبان هک XSS توسط یک شخصی با نام مستعار « Architect» یا « goodluck» فروخته می‌شود.

در حالی که اکثر پست‌ها در XSS به زبان روسی هستند، تقریباً همه پست‌های بین Octo و مشترکین احتمالی به زبان انگلیسی نوشته شده‌اند.

با توجه به شباهت‌های گسترده با ExoCompact، از جمله انتشار در Google Play، عملکرد غیرفعال کردن Google Protect و سیستم حفاظت مهندسی معکوس، ThreatFabric معتقد است که شانس خوبی وجود دارد که « Architect» همان نویسنده یا مالک جدید کد منبع ExoCompact باشد.

ExoCompact همچنین دارای یک ماژول ساده تر دسترسی از راه دور است و پنل مدیریتی مشابه Octo دارد.

بدافزار Octo

پنل Octo

منبع: ThreatFabric

بنابراین با در نظر گرفتن این نتایج نتیجه می‌گیریم که ExobotCompact به تروجان بانکی  Octo تغییر نام داده است.

برنامه‌های اخیر Google Play که دستگاه‌ها را به Octo آلوده کرده‌اند شامل برنامه‌ای به نام «Fast Cleaner» است که تا فوریه 2022، زمانی که کشف و حذف شد 50000 نصب داشت.

بدافزار Octo

برنامه Fast Cleaner که Octo را به قربانیان تحویل می دهد

منبع: ThreatFabric

سایر آلودگی های بدافزار Octo متکی به سایت‌هایی بودند که از نوتیفیکیشن های جعلی مربوط به به‌روزرسانی مرورگر یا هشدارهای جعلی به‌روزرسانی اپلیکیشن Play Store استفاده می‌کردند.

بدافزار Octo

اعلامیه به‌روزرسانی جعلی مرورگر برای نصب بدافزار Octo

منبع: ThreatFabric

برخی از اپراتورهای Octo پس از پایان عملیات Fast Cleaner با استفاده از اپلیکیشنی به نام «Pocket Screencaster» توانستند دوباره به Play Store نفوذ کنند.

لیست برنامه های شناخته شده ی اندروید حاوی بدافزار Octo در زیر فهرست شده است:

  • Pocket Screencaster (com.moh.screen)
  • Fast Cleaner 2021 (vizeeva.fast.cleaner)
  • Play Store (com.restthe71)
  • Postbank Security (com.carbuildz)
  • Pocket Screencaster (com.cutthousandjs)
  • BAWAG PSK Security (com.frontwonder2), and
  • Play Store app install (com.theseeye5)

بدافزار Octo دارای ماژول‌های دسترسی از راه دور هستند و مراحل حفاظت از حساب کاربری قوی مانند کدهای دوعاملی را منسوخ می‌کند، زیرا عامل تهدید به طور کامل دستگاه و حساب‌های وارد شده آن را کنترل می‌کند.

هر چیزی که کاربر بر روی صفحه نمایش دستگاه خود می بیند در دسترس این نوع بدافزارها قرار می گیرد، بنابراین پس از آلوده شدن، هیچ اطلاعاتی ایمن نیست و هیچ اقدام محافظتی موثر نیست.

با این اوصاف، کاربران باید هوشیار باشند، تعداد اپلیکیشن‌های نصب شده روی گوشی‌های هوشمند خود را به حداقل برسانند و مرتباً بررسی کنند که Play Protect فعال است.

برای فعالسازی آن باید به مسیر زیر بروید:

  • Settings -> Google -> Security -> Google Play Protect

بدافزار Octo

جدیدترین لیست اپلیکیشن های آلوده به بدافزار OCTO را که شامل 17 برنامه می باشد در زیر مشاهده می کنید.

بدافزار Octo

 

 

منابع:

bleepingcomputer.com

technipages.com

msn.com

ThreatFabric

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *