Ένα κακόβουλο λογισμικό Android που παρατηρήθηκε ότι κάνει κατάχρηση υπηρεσιών προσβασιμότητας στη συσκευή για να παραβιάσει διαπιστευτήρια χρηστών από ευρωπαϊκές τραπεζικές εφαρμογές έχει μετατραπεί σε ένα εντελώς νέο botnet ως μέρος μιας ανανεωμένης καμπάνιας που ξεκίνησε τον Μάιο του 2021.

Η ιταλική CERT-AGID, στα τέλη Ιανουαρίου, αποκάλυψε λεπτομέρειες σχετικά με το Oscorp , ένα κακόβουλο λογισμικό για κινητά που αναπτύχθηκε για να επιτεθεί σε πολλούς οικονομικούς στόχους με στόχο την κλοπή κεφαλαίων από ανυποψίαστα θύματα. Τα χαρακτηριστικά του περιλαμβάνουν τη δυνατότητα υποκλοπής μηνυμάτων SMS και πραγματοποίησης τηλεφωνικών κλήσεων, καθώς και επιθέσεων επικάλυψης για περισσότερες από 150 εφαρμογές για κινητές συσκευές, χρησιμοποιώντας ομοιόμορφες οθόνες σύνδεσης για την εξαγωγή πολύτιμων δεδομένων.

Το κακόβουλο λογισμικό διανεμήθηκε μέσω κακόβουλων μηνυμάτων SMS, με τις επιθέσεις να πραγματοποιούνται συχνά σε πραγματικό χρόνο, παρουσιάζοντας ως χειριστές τραπεζών να εξαπατούν στόχους μέσω τηλεφώνου και να αποκτούν κρυφά πρόσβαση στη μολυσμένη συσκευή μέσω πρωτοκόλλου WebRTC και τελικά να πραγματοποιούν μη εξουσιοδοτημένες τραπεζικές μεταφορές. Ενώ από τότε δεν αναφέρθηκαν νέες δραστηριότητες, φαίνεται ότι ο Oscorp ενδέχεται να πραγματοποίησε επιστροφή μετά από προσωρινή παύση με τη μορφή ενός botnet Android που είναι γνωστό ως UBEL.

"Αναλύοντας ορισμένα σχετικά δείγματα, βρήκαμε πολλούς δείκτες που συνδέουν το Oscorp και το UBEL με την ίδια κακόβουλη βάση κώδικα, προτείνοντας ένα πιρούνι του ίδιου αρχικού έργου ή απλώς μια επωνυμία από άλλες θυγατρικές, καθώς ο πηγαίος κώδικας του φαίνεται να μοιράζεται μεταξύ πολλαπλών [απειλών ηθοποιοί] ", δήλωσε την Τρίτη η ιταλική εταιρεία κυβερνοασφάλειας Cleafy , χαράζοντας την εξέλιξη του κακόβουλου λογισμικού.

Διαφημισμένο σε υπόγεια φόρουμ για $ 980, το UBEL, όπως και ο προκάτοχός του, ζητά παρεμβατικά δικαιώματα που του επιτρέπουν να διαβάζει και να στέλνει μηνύματα SMS, να ηχογραφεί ήχο, να εγκαθιστά και να διαγράφει εφαρμογές, να ξεκινά αυτόματα μετά την εκκίνηση του συστήματος και να καταχραστεί τις υπηρεσίες προσβασιμότητας στο Android για συσσώρευση ευαίσθητες πληροφορίες από τη συσκευή, όπως διαπιστευτήρια σύνδεσης και κωδικοί ελέγχου ταυτότητας δύο παραγόντων, τα αποτελέσματα των οποίων αποτυπώνονται πίσω σε απομακρυσμένο διακομιστή.

Μετά τη λήψη στη συσκευή, το κακόβουλο λογισμικό προσπαθεί να εγκατασταθεί ως υπηρεσία και να αποκρύψει την παρουσία του από τον στόχο, επιτυγχάνοντας έτσι την επιμονή για παρατεταμένες χρονικές περιόδους.

Είναι ενδιαφέρον ότι η χρήση του WebRTC για αλληλεπίδραση με το παραβιασμένο τηλέφωνο Android σε πραγματικό χρόνο παρακάμπτει την ανάγκη εγγραφής μιας νέας συσκευής και ανάληψης λογαριασμού για εκτέλεση δόλιων δραστηριοτήτων.

"Ο κύριος στόχος για αυτόν τον [παράγοντα απειλής] με τη χρήση αυτής της δυνατότητας, είναι να αποφευχθεί μια" εγγραφή νέας συσκευής ", μειώνοντας έτσι δραστικά την πιθανότητα να επισημανθεί" ως ύποπτη ", καθώς οι δείκτες δακτυλικών αποτυπωμάτων της συσκευής είναι γνωστοί από την πλευρά της τράπεζας, "ανέφεραν οι ερευνητές.

Η γεωγραφική κατανομή των τραπεζών και άλλων εφαρμογών που στοχεύει η Oscorp αποτελείται μεταξύ άλλων από την Ισπανία, την Πολωνία, τη Γερμανία, την Τουρκία, τις ΗΠΑ, την Ιταλία, την Ιαπωνία, την Αυστραλία, τη Γαλλία και την Ινδία, σύμφωνα με την έκθεση.

machine translated by Google Translate

Πηγή : The Hacker News