Octo to nowe złośliwe oprogramowanie. Znajduje się w Google Play

Osoby korzystające z urządzeń z systemem Android są narażone na nowe malware, którego celem jest przejęcie kontroli nad smartfonem i kradzież danych oraz pieniędzy użytkownika. Octo jest niezwykle zaawansowanym oprogramowaniem, a przez to - szczególnie niebezpiecznym.

Jak udało się odkryć ekspertom z ThreatFabric, Octo jest nową, bardziej precyzyjną odmianą dobrze znanego złośliwego oprogramowania Exobot. Coper, jak bywa także nazywane to samo malware, jest dystrybuowany za pośrednictwem złośliwych aplikacji w sklepie Google Play.

Główną zdolnością Octo jest umożliwianie zdalnego dostępu do urządzenia cyberprzestępcom. Mając pełen dostęp, oszuści mogą samodzielnie inicjować transakcje z samego sprzętu. Malware korzysta z usług wbudowanych w Androida, takich jak MediaProjection do przesyłania strumieniowego ekranu czy AccessibilityService do zdalnego wykonywania działań.

Te dwa rozwiązania pozwalają ustanowić zdalny dostęp do zainfekowanego urządzenia. Strumieniowanie ekranu za pomocą MediaProjection opiera się na wysyłaniu zrzutów ekranu z dużą szybkością, przez co przestępcy mogą cały czas widzieć, co dzieje się na przejętym urządzeniu. Aby nie wzbudzać podejrzeń u ofiary, Octo korzysta z usługi Silent w Androidzie, która wyłącza wszystkie powiadomienia i ustawia jasność ekranu na 0.

Dodatkowo Octo zawiera również funkcję keyloggera, która jest wykorzystywana do rejestrowania każdej akcji wykonywanej przez użytkownika na zainfekowanym urządzeniu. Funkcja jest oparta na nadużyciu AccessibilityService - pozwala aplikacjom z tą usługą odbierać wszystkie zdarzenia systemowe. Dla użytkownika przejętego smartfona oznacza to, że Octo jest w stanie przechwytywać takie dane jak wzory blokady. kody PIN, hasła oraz wszelkie inne, wpisywane informacje.

Aby zarazić jak największą ilość użytkowników smartfonów, przestępcy wykorzystują spreparowane aplikacje, umieszczane następnie do pobrania w Google Play. Użytkownicy, którzy zdecydują się na ich pobranie i korzystanie, nie zdają sobie sprawy, że pod powłoką znajduje się szkodliwe malware, które kradnie ich dane.

Jednym z przykładów takiego oprogramowanie jest Fast Cleaner, który został odkryty przez analityków ThreatFabric w Google Play na początku lutego 2022 r. Aplikacja została pobrana ponad 50 tys. razy. Innym przykładem jest także Pocket Screencaster, udający program do nagrywania ekranu.