Link-2-Secure

Cybersecurity and data breach news

Nowe malware na Androida – Oscorp

Włoski CERT (@AgidCert) ostrzega przed nowym złośliwym oprogramowaniem na Androida wykradającym dane uwierzytelniające.

Włoski CERT (@AgidCert) ostrzega przed nowym złośliwym oprogramowaniem na Androida wykradającym dane uwierzytelniające.

Badacze ujawnili nową rodzinę złośliwego oprogramowania na Androida, które wykorzystuje usługi dostępności w urządzeniu w celu przechwycenia danych uwierzytelniających użytkownika oraz nagrywania audio i wideo.

Nazwane „Oscorp” przez włoski CERT-AGID i zauważone przez AddressIntel, złośliwe oprogramowanie „nakłania użytkownika do zainstalowania usługi dostępności, dzięki której [atakujący] mogą odczytać, między innymi co jest wpisywane na ekranie”.

Nazwany tak ze względu na tytuł strony logowania jego serwera command-and-control (C2), złośliwa aplikacja (o nazwie „Assistenzaclienti.apk” lub „Customer Protection”) jest dystrybuowany za pośrednictwem domeny o nazwie „supportoapp[.]com”. Aplikacja po instalacji żąda od użytkownika zgody na włączenie usługi dostępności i nawiązuje komunikację z serwerem C2 w celu pobrania dodatkowych poleceń.

Jeżeli użytkownik nie zaakceptuje żądań o uprawnienia, aplikacja co osiem sekund ponownie otwiera ekran ustawień, dopóki użytkownik nie zezwoli na dostęp i statystyki użytkowania urządzenia, wywierając w ten sposób presję na użytkownika.

Po przyznaniu dostępu, złośliwe oprogramowanie wykorzystuje te uprawnienia do rejestrowania naciśnięć klawiszy, odinstalowywania aplikacji na urządzeniu, wykonywania połączeń, wysyłania wiadomości SMS, kradzieży kryptowalut poprzez przekierowywanie płatności dokonywanych za pośrednictwem aplikacji Blockchain.com Wallet oraz uzyskiwania dostępu do kodów uwierzytelniania dwuskładnikowego z aplikacji Google Authenticator.

W ostatnim etapie złośliwe oprogramowanie przesyła przechwycone dane – wraz z informacjami o systemie (np. zainstalowane aplikacje, model telefonu, operator) – na serwer C2, a także pobiera z niego polecenia, które pozwalają mu na uruchomienie aplikacji Google Authenticator, wykradanie wiadomości SMS, odinstalowywanie aplikacji, uruchamianie określonych adresów URL oraz nagrywanie dźwięku i obrazu ekranu poprzez WebRTC.

Co więcej, użytkownikom otwierającym aplikacje, do których kierowane jest złośliwe oprogramowanie, wyświetlana jest strona phishingowa z prośbą o podanie nazwy użytkownika i hasła, zauważa CERT, dodając, że styl tego ekranu różni się w zależności od aplikacji i że jest on zaprojektowany z zamiarem oszukania ofiary, aby podała te informacje. Jak widzimy „Oscorp” oferuje naprawdę spory wachlarz możliwości jezeli chodzi o funkcjonalności dostępne dla hakerów. Wykradzione dane do logowania mogą posłużyć na przykład do uzyskania dostępu do konta bankowego ofiary.

„Zabezpieczenia Androida uniemożliwiają złośliwemu oprogramowaniu wyrządzenie jakichkolwiek szkód, dopóki użytkownik nie włączy usługi [dostępności]” – podsumowuje CERT-AGID. Czyli oprogranowanie jest praktycznie bezużyteczne, dopóki skuszeni innymi funkcjonalnościami, świadomie nie przyznamy żądanych uprawnień dla aplikacji. Nic nie zastąpi rozsądku…