Новый Android-вирус Octo позволяет удаленно управлять устройством

11.04.2022

Появился новый вирус Android-системы — вредонос под названием Octo, позволяющий получать удаленный доступ к устройству и выполнять различные действия. Его нашли исследователи кибербезопасности компании ThreatFabric.

По утверждениям специалистов по информационной безопасности, вредонос является эволюцией вирусов семейства Exobot, впервые обнаруженном в 2016 году. Он основан на исходном коде другого трояна (Marcher) и поддерживался до 2018 года. Его атаки были нацелены на финансовые учреждения и различные компании в Турции, Франции, Германии, Австралии, Таиланде и Японии. Впоследствии была представлена его «облегченная» версия под названием ExobotCompact.

23 января 2022 года аналитики ThreatFabric обнаружили на одном из форумов в даркнете сообщение о поиске ботнета Octo для Android. Дальнейший анализ выявил прямую связь между Octo и ExobotCompact. Оказалось, Octo — это фактически переименованный ExobotCompact, дополненный несколькими функциями.

Новое вредоносное ПО Octo, в отличие от ExoCompact, оснащено модулем удаленного доступа, который предоставляется с помощью модуля потоковой передачи экрана в реальном времени (обновляется каждые две секунды) через Android MediaProjection и удаленных действий через Accessibility Service. Вирус уменьшает яркость экрана до нуля и отключает уведомления с помощью режима «Не беспокоить», что позволяет скрыть удаленные операции от жертвы. Помимо удаленного доступа, Octo записывает все действия пользователя: ввод PIN-кодов, открытие сайтов, клики на элементы и многое другое. Также вирус блокирует push-уведомления от некоторых приложений, делает перехват и отправку SMS-сообщений, отключает звук и временную блокировку экрана, запускает нужные приложения, запуск/остановку сеанса удаленного доступа, обновление списка C&C-серверов и другие несанкционированные действия.

Теги: android, вредоносы, вредоносное по, вирус, ThreatFabric
Хабы: Информационная безопасность, Смартфоны

Источник: https://habr.com