Новый Android-вирус Octo позволяет удаленно управлять устройством
Появился новый вирус Android-системы — вредонос под названием Octo, позволяющий получать удаленный доступ к устройству и выполнять различные действия. Его нашли исследователи кибербезопасности компании ThreatFabric.
По утверждениям специалистов по информационной безопасности, вредонос является эволюцией вирусов семейства Exobot, впервые обнаруженном в 2016 году. Он основан на исходном коде другого трояна (Marcher) и поддерживался до 2018 года. Его атаки были нацелены на финансовые учреждения и различные компании в Турции, Франции, Германии, Австралии, Таиланде и Японии. Впоследствии была представлена его «облегченная» версия под названием ExobotCompact.
23 января 2022 года аналитики ThreatFabric обнаружили на одном из форумов в даркнете сообщение о поиске ботнета Octo для Android. Дальнейший анализ выявил прямую связь между Octo и ExobotCompact. Оказалось, Octo — это фактически переименованный ExobotCompact, дополненный несколькими функциями.
Новое вредоносное ПО Octo, в отличие от ExoCompact, оснащено модулем удаленного доступа, который предоставляется с помощью модуля потоковой передачи экрана в реальном времени (обновляется каждые две секунды) через Android MediaProjection и удаленных действий через Accessibility Service. Вирус уменьшает яркость экрана до нуля и отключает уведомления с помощью режима «Не беспокоить», что позволяет скрыть удаленные операции от жертвы. Помимо удаленного доступа, Octo записывает все действия пользователя: ввод PIN-кодов, открытие сайтов, клики на элементы и многое другое. Также вирус блокирует push-уведомления от некоторых приложений, делает перехват и отправку SMS-сообщений, отключает звук и временную блокировку экрана, запускает нужные приложения, запуск/остановку сеанса удаленного доступа, обновление списка C&C-серверов и другие несанкционированные действия.