Italia CERT advierte sobre nuevo malware de Android

Los investigadores han revelado una nueva familia de malware de Android que abusa de los servicios de accesibilidad en el dispositivo para secuestrar las credenciales del usuario y grabar audio y video.

Apodado " Oscorp " por el CERT- AGID de Italia y detectado por AddressIntel , el malware "induce al usuario a instalar un servicio de accesibilidad con el que [los atacantes] pueden leer lo que está presente y lo que se escribe en la pantalla".

Llamado así por el título de la página de inicio de sesión de su servidor de comando y control (C2), el APK malicioso (llamado "Assistenzaclienti.apk" o "Protección del cliente") se distribuye a través de un dominio llamado "supportoapp [.] Com , "que tras la instalación, solicita permisos intrusivos para habilitar el servicio de accesibilidad y establece comunicaciones con un servidor C2 para recuperar comandos adicionales.

Además, el malware vuelve a abrir repetidamente la pantalla de Configuración cada ocho segundos hasta que el usuario activa los permisos para la accesibilidad y las estadísticas de uso del dispositivo, presionando así al usuario para que otorgue privilegios adicionales.

Una vez que se proporciona el acceso, el malware explota los permisos para registrar pulsaciones de teclas, desinstalar aplicaciones en el dispositivo, hacer llamadas, enviar mensajes SMS, robar criptomonedas redirigiendo los pagos realizados a través de la aplicación No tienes permitido ver los links. Registrarse o Entrar a mi cuenta Wallet y acceder a códigos de autenticación de dos factores de Google. Aplicación de autenticación.

La billetera controlada por el atacante tenía $ 584 al 9 de enero, dijeron los investigadores.


En el último paso, el malware filtra los datos capturados, junto con la información del sistema (por ejemplo, aplicaciones instaladas, modelo de teléfono, operador), al servidor C2, además de obtener comandos del servidor que le permiten iniciar la aplicación Google Authenticator. , robar mensajes SMS, desinstalar aplicaciones, iniciar URL específicas y grabar audio y video de la pantalla a través de WebRTC.

Además, a los usuarios que abren las aplicaciones objetivo del malware se les muestra una página de phishing que solicita su nombre de usuario y contraseña, señaló CERT, agregando que el estilo de esta pantalla varía de una aplicación a otra y que está diseñada con la intención de engañar a la víctima proporcionar la información.

El tipo exacto de aplicaciones señaladas por este malware sigue sin estar claro, pero los investigadores dijeron que podría ser cualquier aplicación que se ocupe de datos confidenciales, como los de banca y mensajería.

"Las protecciones de Android evitan que el malware cause algún tipo de daño hasta que el usuario habilite el servicio [de accesibilidad]", concluyó CERT-AGID. "Una vez habilitado, sin embargo, se abre una 'represa'. De hecho, Android siempre ha tenido una política muy permisiva hacia los desarrolladores de aplicaciones, dejando la decisión final de confiar o no en una aplicación al usuario final".

Vía: The Hacker News