کدهای بدافزارها در طول زمان تکامل پیدا میکنند و به نظر میرسد بدافزار تازه کشف شده Octo ادامه همین سیر تکاملی باشد زیرا در کنار قابلیت استخراج اطلاعات حساب بانکی کاربران از گوشیهای اندرویدی، شباهتهای عجیبی با چند بدافزار دیگر دارد.
برای اثبات این ادعا میتوان به یک بدافزار بانکی اشاره کرد که سر و کلهاش سال 2016 پیدا شد و به اسم Exobot شناخته میشد، در سراسر دنیا دردسر ایجاد کرد و در نهایت سال 2018 به ExobotCompact تغییر شکل داد.
همانطور که ملاحظه کردید، تروجان ExobotCompact از بدافزار اولیه قدرتمندتر و پیشرفتهتر بود و حتی چند زیرشاخه اضافی هم داشت. اکنون اما طبق زمزمههای به گوش رسیده از دارک وب، محققان امنیت سایبری Threat Fabric میگویند بدافزاری به نام Octo وارد میدان شده که اشتراکات زیادی با ExobotCompact دارد.
یکی از اشتراکات این دو بدافزار اقداماتی است که از انجام مهندسی معکوس روی آنها جلوگیری میکند، مورد دیگر کدهایی هستند که Octo با استفاده از آنها به آسانی در اپهای ظاهرا بیخطر پنهان میشود، این بدافزار همچنین مثل خویشاوند دور خود میتواند گوگل پروتکت را هنگام دانلود شدن غیر فعال کند.
با این وجود، تفاوت Octo و ExobotCompact در این است که Octo یک عملکرد «کلاهبرداری روی دستگاه» (on-device fraud یا ODF) است.
بدافزار Octo چطور عمل میکند؟
گفتنی است که بدافزار Octo برای پیادهسازی ODF از طریق خدمات Accessibility مخفیانه وارد دستگاه شما شده، یک استریم زنده ایجاد میکند که تحت فرمان حملهکننده عمل میکند و همچنین کنترل سرورهایی که در هر ثانیه با گوشیهای حاضر در آن آپدیت میشود را هم در دست میگیرد.
Octo سپس با سیاه باقی گذاشتن صفحه و مسدود کردن اعلانهای گوشی، کاربر را در بیخبری محض نگاه میدارد. بنابراین اینگونه به نظر میرسد که گوشی شما خاموش است اما در واقع بدافزار در پسزمینه مشغول کار است.
Octo همچنین دارای یک نرمافزار keylogging است و میتواند هرچه که کاربر داخل گوشی خود تایپ کرده، از پیامها گرفته تا رمزهای عبور را رهگیری کند. از همین رو نام Octo (مخفف اختاپوس) برای بدافزاری تا این حد منعطف مناسب به نظر میرسد.
درحال حاضر یکی از اپهای حاوی Octo که توسط Threat Fabric در گوگل پلی یافته شده، یک Fast Cleaner بوده است. به همین خاطر توصیه میشود فعلا از نصب اپهای غیررسمی پرهیز کنید و گوشی خود را با آپدیتهای امنیتی به روز نگاه دارید.
