Компания ThreatFabric сообщила о новом варианте вредоносного ПО семейства Octo (ExobotCompact) под названием Octo2. Разработчики нового варианта вредоносного ПО предприняли меры по повышению стабильности возможностей удаленного воздействия, необходимых для атак типа Device Takeover. Кампании Octo2 были замечены в европейских странах, включая Италию, Польшу, Молдову и Венгрию.
Octo2
Вредоносная программа содержит сложные методы обфускации, позволяющие троянцу оставаться незамеченным, включая внедрение алгоритма генерации доменов (Domain Generation Algorithm, DGA). На первом этапе установки Zombinder запрашивает установку дополнительного «плагина», которым является Octo2, обходящий ограничения Android 13+.
Octo2 имеет несколько значительных обновлений по сравнению с предыдущими версиями, включая повышение устойчивости RAT, улучшение методов антианализа и антиобнаружения, а также использование алгоритма генерации домена (DGA) для генерации фактического имени сервера C2. Вредоносная программа генерирует новый ключ для каждого запроса к C2, а криптографическая «соль» передается как часть запроса, чтобы сервер C2 мог получить тот же ключ на своей стороне для расшифровки данных. Появление варианта Octo2 сигнализирует о будущих проблемах в области безопасности мобильного банкинга, поскольку его расширенные возможности и широкое использование создают значительные риски.
Indicators of Compromise
SHA256
- 117aa133d19ea84a4de87128f16384ae0477f3ee9dd3e43037e102d7039c79d9
- 6cd0fbfb088a95b239e42d139e27354abeb08c6788b6083962943522a870cb98
- 83eea636c3f04ff1b46963680eb4bac7177e77bbc40b0d3426f5cf66a0c647ae