【安全资讯】Octo2恶意软件变种威胁欧洲银行，能够全面控制设备

概要：

网络安全研究人员在ThreatFabric发现了一种更加危险的Octo银行恶意软件变种，称为“Octo2”。这一新变种已经开始瞄准欧洲的金融机构，特别在意大利、波兰、摩尔多瓦和匈牙利等国家。利用增强的远程访问功能和先进的反检测技术，对移动银行用户构成重大风险。

主要内容：

ThreatFabric的研究人员透露，Octo2是ExobotCompact恶意软件家族的最新演变。最早以Exobot命名时，该恶意软件家族自2016年出现以来，逐渐发展成为一种广泛而危险的移动银行威胁。Octo的前身以其能够执行覆盖攻击、拦截推送通知及接管设备而著称。现在，随着Octo2的问世，该恶意软件具备了改进的远程访问工具，能够在用户毫不知情的情况下执行虚假交易，实现全面设备接管。

Octo2恶意软件开发者专注于提高远程控制会话的稳定性，甚至引入了一种“低质量”设置，使攻击者能够在网络状况不佳的情况下保持连接。这使Octo2即使在不利条件下也能执行攻击，确保设备访问的一贯性和可靠性。2024年初发现的首批Octo2攻击活动伪装成合法应用，如Google Chrome、NordVPN和Enterprise Europe Network。这些虚假应用一旦安装，便会部署Zombinder工具，以绕过Android 13+的安全限制。

一旦安装，Octo2便能拦截并隐藏推送通知，这是网络犯罪分子用来阻止重要安全警告的一种方法。Octo2的影响已不局限于欧洲，预计其运营者将扩展到美国、加拿大、新加坡等地区。为了逃避检测，Octo2使用了域名生成算法（DGA），动态生成命令与控制（C2）域名，增加了安全系统阻止其操作的难度。此外，恶意软件使用创新的加密方法，每次与C2服务器通信时生成新的加密密钥，进一步复杂化了流量的拦截和分析。

总之，Octo2的混淆技术比以前的版本更加先进，使用多层加密和动态加载附加的恶意库，以逃避安全研究人员的手动和自动分析。随着Octo2活动的继续扩散，移动用户和金融机构被敦促保持警惕。该恶意软件在执行高度针对性攻击时能保持不被察觉，标志着其成为网络犯罪领域的严重威胁。