Octo2恶意软件会伪装成NordVPN和Google Chrome等热门应用，以Android设备为目标。这种先进的木马使用复杂的技术来逃避检测、窃取凭证并实现对受感染设备的远程访问。

DomainTools的网络安全研究人员发布了他们对臭名昭著的Octo恶意软件家族新版本Octo2的最新研究。Octo2以Android移动设备为目标，根据其活动，研究人员认为它将很快瞄准全球用户。

DomainTools解决方案工程师Steve Behm表示，Octo2代表着网络安全威胁的重大变化。这款多产Octo(ExobotCompact)系列的更新版本因其增强的功能、其前身在全球范围内的采用以及积极的分发策略而迅速传播。

Octo2改进了远程访问木马功能，即使在具有挑战性的网络条件下也能确保对受感染设备的可靠通信和控制。此外，其增强的反分析和反检测技术可以阻碍安全分析和检测，使识别和消除威胁变得更加困难。

此外，使用基于DGA的C2服务器生成算法(DGA)创建动态命令和控制(C2)服务器地址增加了一层复杂性，使安全系统更难跟踪和破坏通信。

DomainTool在2024年10月10日发布之前与分享的博客文章中写道：“我们最终能够将最初的9个域名和7个TLD扩展为269个域名和12个TLD，这些域名和TLD首次出现在2024年8月22日至2024年10月4日之间。”

Octo2的早期样本已在多个欧洲国家被发现，包括意大利、波兰、摩尔多瓦和匈牙利。然而，鉴于原始Octo的全球影响力以及Octo2的改进，其分布预计将迅速扩大。

该恶意软件经常伪装成合法应用程序，例如Google Chrome、NordVPN或“Enterprise Europe Network”，以欺骗毫无戒心的用户。它使用名为Zombinder的植入程序来传递恶意负载，提示用户安装看似无害的插件，而该插件实际上是Octo2。

供您参考，Zombinder是另一种在2022年活跃于暗网上销售的Android恶意软件。其开发人员还提供了Windows版本。当时，Zombinder被发现传播臭名昭著的Xenomorph银行恶意软件，伪装成VidMate应用程序。

一旦设备被感染，Octo2便会允许远程访问移动设备、拦截推送通知、获取凭据并执行未经授权的操作，例如允许未经授权的登录和访问。2008年发现的Conficker蠕虫是恶意软件家族使用DGA的最早例子之一，到目前为止，已发现50个恶意软件家族（包括Zeus和Dyre）正在使用DGA域。

Octo2使用DGA（域生成算法 - 不同于注册域生成算法 - RDGA）来生成其C2服务器地址，这是一项重大改进。这种技术允许恶意软件不断更改其通信端点，使其更能抵御删除和检测工作。虽然研究人员可以识别用于生成这些域的模式，但C2基础设施的动态特性构成了巨大威胁。

Domain Tools研究人员警告用户要警惕Octo2恶意软件，避免从第三方网站下载应用程序或软件。对于企业来说，使用威胁情报非常重要。这包括高级检测工具（如沙盒）、监控DNS流量是否存在异常活动，以及使用端点安全解决方案来发现受感染设备上的恶意行为。定期的DNS流量监控也可以帮助检测基于DGA的恶意软件。