Novi Android malver krade lozinke korisnika

Mobilni telefoni, 29.01.2021, 09:30 AM

Italijanski CERT-AGID upozorio je na novi malver za Android, nazvan „Oscorp“, koji zloupotrebljava usluge pristupačnosti na uređaju za krađu korisničkih podataka i snimanje zvuka i videa.

Malver „podstiče korisnika da instalira uslugu pristupačnosti pomoću koje napadači mogu pročitati šta je na ekranu i šta je otkucano“.

Zlonamerni APK (nazvan „Assistenzaclienti.apk“ ili „Zaštita kupaca“) koji se distribuira se preko domena „supportoapp[.]com”, nakon instalacije traži intruzivne dozvole da bi se omogućila usluga pristupačnosti i uspostavlja komunikaciju sa C2 serverom zbog preuzimanja dodatnih komandi.

Malver otvara podešavanja uređaja svakih osam sekundi sve dok korisnik ne uključi dozvole za pristupačnost i statistiku upotrebe uređaja.

Kada se obezbedi pristup, malver koristi dozvole za evidentiranje pritiska tastera, deinstaliranje aplikacija na uređaju, upućivanje poziva, slanje SMS poruka, krađu kriptovaluta preusmeravanjem plaćanja izvršenih putem aplikacije Blockchain.com Wallet i pristupanje kodovima za dvofaktornu autentifikaciju u Googleovoj aplikacija Authenticator.

Novčanik koji je pod kontrolom napadača imao je 584 dolara do 9. januara, rekli su istraživači.

Malver izvlači snimljene podatke, i zajedno sa informacijama o sistemu (npr. instalirane aplikacije, model telefona, operater), šalje ih na C2 server. Pored toga, preuzima naredbe sa servera koje mu omogućavaju pokretanje aplikacije Google Authenticator, krađu SMS poruka, deinstalaciju aplikacija, otvaranje određenih linkova i snimanje zvuka i videa ekrana preko WebRTC-a.

Korisnicima koji otvaraju aplikacije koje cilja malver prikazuje se fišing stranica koja traži njihovo korisničko ime i lozinku. Ova stranica razlikuje se od aplikacije do aplikacije ali je dizajnirana sa namerom da prevari žrtvu da da određene podatke.

Koje aplikacije cilja ovaj malver ostaje nejasno, ali istraživači su rekli da bi to mogle biti sve one koje rukuju osetljivim podacima, poput aplikacija za e-bankarstvo ili aplikacija za slanje poruka.

„Android zaštite sprečavaju malver da načini bilo kakvu štetu dok korisnik ne omogući uslugu pristupačnosti“, zaključio je CERT-AGID. „Međutim, kada je omogućena, brana se otvara. U stvari, Android je uvek imao vrlo popustljivu politiku prema programerima aplikacija, prepuštajući odluku krajnjem korisniku da veruje ili ne veruje aplikaciji."