我们经常会了解从已知或长期存在的恶意代码演变而来的关键Android恶意软件。ThreatFabric的网络安全研究人员最近发现了一种此类威胁,它允许攻击者远程执行设备欺诈。这种名为Octo的远程访问木马(RAT)是从Exobot恶意软件家族演变而来的。
Exobot是一种Android银行恶意软件,于2016年首次出现。其背后的威胁行为者将这个恶意代码保留到2018年,并有来自世界各个角落的漏洞报告。该恶意软件的作者在2018年出售了源代码,但很快就被公开泄露。
与此同时,Exobot诞生了一种名为ExobotCompact的新RAT。新发现的OctoAndroid银行恶意软件是它的更新版本,具有多项新功能。
在设备上欺诈或ODF中,攻击者可以远程访问受害者的设备,并在他们不知情的情况下执行交易或其他活动。ThreatFabric指出,由于所有欺诈都发生在设备本身上,ODF是最危险和最不显眼的欺诈类型。
要执行远程操作,攻击者需要流式传输受害者设备的屏幕。Octo恶意软件为此使用Android的内置服务:用于屏幕流式传输的MediaProjection(每秒更新一次)和用于执行操作的AccessibilityService。这会诱使设备上的反欺诈引擎认为所有者正在设备上进行操作,而不是远程操作者。
一旦攻击者控制了您的设备,他们就会使用黑屏覆盖层向受害者隐藏他们的远程操作。屏幕亮度设置为零,并启用“请勿打扰”模式以关闭所有通知。当攻击者远程执行各种操作时,该设备对受害者来说似乎是关闭的。该恶意软件可以查看剪贴板数据、复制/剪切和粘贴文本、滚动和点击屏幕以及执行手势。
Octo的键盘记录器还允许攻击者捕获受害者在设备上键入的所有内容。这可能包括任何消息或机密信息,例如PIN、密码和银行凭证。如果某些恶意行为者拥有该信息,您可以猜测您可能遭受的损害程度。
该恶意软件还可以远程执行许多其他操作。它可以阻止来自特定应用程序的推送通知、启用短信拦截或向任何电话号码发送短信。其他功能包括打开特定网站、启动/停止远程访问会话、启动应用程序、禁用声音以及临时锁定设备屏幕。
根据ThreatFabric的最新报告,在多个Android应用程序中发现了OctoAndroid银行恶意软件。其中包括一款名为“FastCleaner”的应用,在GooglePlay商店的安装量超过50,000次。发现恶意软件后,Google于2022年2月从PlayStore中删除了该应用程序。其他受影响的应用程序包括PocketScreencaster、FastCleaner2021、PlayStore、PostbankSecurity、PocketScreencaster(不同的包名称)、BAWAGPSKSecurity和PlayStore应用安装。
令人恐惧的是,仍然存在具有如此强大功能的恶意软件。这些RAT使所有帐户保护步骤(例如双因素身份验证(2FA))都过时了。攻击者可以完全控制受害者的设备,并有效地控制其登录帐户。正如BleepingComputer指出的那样,一旦恶意软件进入您的设备,“没有信息是安全的,也没有任何保护措施是有效的”。始终确保您只安装受信任的应用程序,并且来自受信任的来源。不要安装不需要的应用程序并启用PlayProtect扫描有害应用程序。