El CERT italiano nos advierte sobre una nueva familia de malware para Android que hace uso de los permisos de accesibilidad de nuestro dispositivo para robar nuestras credenciales y grabar audio y vídeo.
El malware ha sido bautizado por AddressIntel como Oscorp. Este malware no es distinto a los demás pero a diferencia de otros derivados de Anubis, el análisis de este malware es algo más inmediato al no contener un archivo DEX cifrado con RC4.
Según nos muestran en el análisis hecho por el CERT italiano no es complicado descifrar las cadenas que hay en su interior y nos ponen un ejemplo de cómo descifrar las cadenas usando cyberchef ademas de mostrarnos con una imagen un sencillo esquema de cómo es el proceso.
El APK malicioso se distribuye a través de un dominio llamado «supportoapp [.] Com» cuyo análisis en Virustotal podéis encontrar en este enlace.
En el momento de instalación del APK se solicitan permisos de accesibilidad para poder comenzar con la comunicación con el C2 y recuperar comandos adicionales.
Si no se conceden los permisos de accesibilidad el malware está programado para abrir la ventana cada 8 segundos y así hacer presión para que el usuario los active.
Cuando los permisos han sido aceptados el malware empieza a registrar pulsaciones de teclas, desinstalar aplicaciones en el dispositivo, hacer llamadas, enviar mensajes SMS, robar criptomonedas redirigiendo los pagos realizados a través de la aplicación Blockchain.com y también accede a los códigos de autenticación para poder saltar la verificación en dos pasos de Google.
Posteriormente el malware filtra los datos al servidor C2, entre los que se incluyen todos los mencionados anteriormente y las grabaciones de audio y video de la pantalla que se hicieron a través de WebRTC.
Además, como era de esperar, si la aplicación maliciosa detecta que el usuario está abriendo una de las aplicaciones objetivo para las que incorpora un phishing, éste se le muestra a los usuarios con la intención de robar sus credenciales.
Es muy importante entender que los sistemas de seguridad de Android evitan que las aplicaciones puedan causar algún tipo de daño hasta que se habilita el servicio de accesibilidad. Por esto es necesario desconfiar de cualquier aplicación que nos solicite este tipo de permisos ya que Android deja al usuario la libertad de confiar o no en las aplicaciones que instala en su dispositivo.
Fuentes:
https://thehackernews.com/2021/01/italy-cert-warns-of-new-credential.html
https://cert-agid.gov.it/news/individuato-sito-che-veicola-in-italia-un-apk-malevolo/
https://cert-agid.gov.it/news/oscorp-il-solito-malware-per-android/
Deja una respuesta