Theo các nhà nghiên cứu bảo mật tại ThreatFabric, Octo là mã độc được phát triển từ ExoCompact, một biến thể của Trojan nguy hiểm nổi tiếng có tên Exo. Năm 2018, malware này vượt ra ngoài thế giới của tội phạm mạng sau khi bị rò rỉ mã nguồn. Từ đó, nhiều biến thể của Exo xuất hiện, trong đó Octo là một trong những biến thể nguy hiểm nhất.
Octo cho phép hacker thực hiện hàng loạt hành động, bao gồm: Chặn thông báo từ ứng dụng cụ thể, chặn hoặc gửi SMS, khởi chạy một ứng dụng, mở một địa chỉ web, tắt âm khóa màn hình. Chúng cũng giúp có thể giúp hacker điều khiển thiết bị từ xa. Việc điều khiển này được thực hiện thông qua một thành phần có tính năng phát trực tiếp ảnh màn hình, với khả năng cập nhật mỗi giây, lợi dụng công cụ trợ năng và MediaProjection của Android. Octo cũng tạo ra một lớp phủ đen trên màn hình, giảm độ sáng về 0 và tắt tất cả các thông báo bằng tính năng "không làm phiền". Từ đó, kẻ gian có thể thực hiện hàng loạt thao tác từ xa, bao gồm chạm vào màn hình, gõ văn bản, cuộn màn hình, dán dữ liệu mà không bị nạn nhân phát hiện.
Ngoài ra, Octo chứa một hệ thống keylogger cho phép ghi lại toàn bộ các thao tác bàn phím Android. Qua đó, kẻ tấn công có thể biết được nhiều thông tin bao gồm nội dung văn bản, mã PIN, mật khẩu, các website đã truy cập của máy nạn nhân.
Theo ThreatFabric, mã độc này có thể xâm phạm vào nhiều ứng dụng quan trọng trên máy, gồm ứng dụng quản lý mật khẩu, ứng dụng ngân hàng, ví tiền điện tử, ứng dụng bảo mật hai lớp và đăng nhập game.
Các nhà nghiên cứu cũng phát hiện Octa bắt đầu được mua bán trên một số thị trường darknet, trong đó có diễn đàn XSS bằng tiếng Nga. Chúng được rao bán qua một số tài khoản có tên Architect và goodluck. Trong đó, Architect được nhận định là một trong những tác giả của mã độc Exo trước đây.
Ứng dụng Fast Cleaner trên Google Play có chứa Octo. Ảnh: ThreatFabric
Tương tự các mã độc gốc, Octo được thiết kế để dễ dàng vượt qua khâu kiểm duyệt của Google Play, vô hiệu hóa Google Protect và được bảo vệ khỏi các kỹ thuật đảo ngược mã nguồn. Thực tế, hàng loạt ứng dụng trên Play Store được phát hiện có chứa mã độc này, như Pocket Screencaster, Fast Cleaner 2021, Postbank Security, Pocket Screencaster, BAWAG PSK Security..., trong đó có ứng dụng đạt hàng chục nghìn lượt tải.
Theo Bleeping Computer, với mã độc dạng này, biện pháp bảo mật bằng mật khẩu hai lớp cũng trở nên vô dụng. Bất cứ thông tin gì người dùng nhìn thấy trên màn hình hoặc thao tác trên bàn phím cũng bị hacker nắm rõ. Phương án hữu hiệu nhất là phòng tránh việc bị lây nhiễm, bằng cách duy trì cảnh giác với các ứng dụng lạ, hạn chế tối đa việc cài các ứng dụng không quan trọng và luôn kiểm tra Google Protect được bật hay không.
