Taliansko CERT varuje pred novým škodlivým softvérom pre Android

Výskumníci odhalili novú rodinu škodlivého softvéru pre Android, ktorý zneužíva služby dostupnosti v zariadení na odcudzenie poverení používateľa a nahrávanie zvuku a videa.

Malvér, ktorý taliansky CERT-AGID nazval „Oscorp“ a ktorý si všimol AddressIntel, „prinúti používateľa, aby si nainštaloval službu dostupnosti, pomocou ktorej [the attackers] dokáže prečítať, čo je prítomné a čo je napísané na obrazovke.”

Škodlivý súbor APK (nazývaný „Assistenzaclienti.apk“ alebo „Ochrana zákazníka“) je pomenovaný podľa názvu prihlasovacej stránky jeho servera príkazového a riadiaceho systému (C2) a distribuuje sa prostredníctvom domény s názvom „supportoapp[.]com”, ktorý po inštalácii vyžaduje rušivé povolenia na aktiváciu služby dostupnosti a nadväzuje komunikáciu so serverom C2 na získanie ďalších príkazov.

Okrem toho malvér opakovane otvára obrazovku Nastavenia každých osem sekúnd, kým používateľ nezapne povolenia na prístupnosť a štatistiky používania zariadenia, čím tlačí na používateľa, aby udelil ďalšie privilégiá.

Po poskytnutí prístupu malvér využíva povolenia na zaznamenávanie stlačení klávesov, odinštalovanie aplikácií na zariadení, uskutočňovanie hovorov, odosielanie SMS správ, kradnutie kryptomien presmerovaním platieb uskutočnených prostredníctvom aplikácie Wallet Blockchain.com a prístup k dvojfaktorovým overovacím kódom od spoločnosti Google. Aplikácia Authenticator.

Peňaženka ovládaná útočníkom mala k januáru 584 dolárov 9, uviedli vedci.

V poslednom kroku malvér exfiltruje zachytené údaje – spolu so systémovými informáciami (napr. nainštalované aplikácie, model telefónu, operátor) – na server C2, okrem toho získava príkazy zo servera, ktoré mu umožňujú spustiť aplikáciu Google Authenticator. , kradnúť správy SMS, odinštalovať aplikácie, spustiť konkrétne adresy URL a nahrávať zvuk a video z obrazovky cez WebRTC.

A čo viac, používateľom otvárajúcim aplikácie zacielené malvérom sa zobrazí phishingová stránka, ktorá požaduje ich používateľské meno a heslo, poznamenal CERT, pričom štýl tejto obrazovky sa líši od aplikácie k aplikácii a že je navrhnutá s úmyslom oklamať obeť. poskytovanie informácií.

Presný druh aplikácií, ktoré tento malvér vyčlenil, zostáva nejasný, ale výskumníci uviedli, že by to mohla byť akákoľvek aplikácia, ktorá pracuje s citlivými údajmi, ako sú napríklad tie pre bankovníctvo a posielanie správ.

„Ochrany Androidu bránia škodlivému softvéru spôsobovať akékoľvek škody, kým to používateľ nepovolí [accessibility] službu,” uzavrel CERT-AGID. “Po aktivácii sa však otvorí ‘priehrada’. V skutočnosti mal Android vždy veľmi ústretovú politiku voči vývojárom aplikácií, pričom konečné rozhodnutie, či aplikácii dôverovať alebo nie, ponechával na koncovom používateľovi.“