Forscher haben eine neue Familie von Android-Malware aufgedeckt, die Zugriffsdienste im Gerät missbraucht, um Benutzeranmeldeinformationen zu entführen und Audio- und Videoaufnahmen zu machen.
Die vom italienischen CERT-AGID als „Oscorp“ bezeichnete Malware „veranlasst den Benutzer, einen Zugänglichkeitsdienst zu installieren, mit dem [the attackers] lesen kann, was sich auf dem Bildschirm befindet und was eingegeben wird.“
So benannt wegen des Titels der Anmeldeseite seines Command-and-Control (C2)-Servers, wird die bösartige APK (genannt „Assistenzaclienti.apk“ oder „Customer Protection“) über eine Domain namens „supportoapp“ verteilt[.]com“ verbreitet, die nach der Installation aufdringliche Berechtigungen zur Aktivierung des Erreichbarkeitsdienstes anfordert und eine Kommunikation mit einem C2-Server aufbaut, um weitere Befehle abzurufen.
Darüber hinaus öffnet die Malware den Einstellungsbildschirm alle acht Sekunden erneut, bis der Benutzer die Berechtigungen für die Erreichbarkeit und die Gerätenutzungsstatistiken aktiviert und den Benutzer so unter Druck setzt, die zusätzlichen Berechtigungen zu gewähren.
Sobald der Zugriff gewährt wurde, nutzt die Malware die Berechtigungen aus, um Tastatureingaben zu protokollieren, Apps auf dem Gerät zu deinstallieren, Anrufe zu tätigen, SMS-Nachrichten zu senden, Kryptowährung zu stehlen, indem Zahlungen über die Blockchain.com Wallet-App umgeleitet werden, und auf Zwei-Faktor-Authentifizierungscodes aus der Google Authenticator-App zuzugreifen.
Der Angreifer-kontrollierte Geldbeutel hatte $584 als von Januar 9, die Forscher sagte.
Im letzten Schritt exfiltriert die Malware die erfassten Daten – zusammen mit Systeminformationen (z. B. installierte Apps, Telefonmodell, Netzbetreiber) – an den C2-Server. Außerdem holt sie sich Befehle vom Server, die es ihr ermöglichen, die Google Authenticator-App zu starten, SMS-Nachrichten zu stehlen, Apps zu deinstallieren, bestimmte URLs zu starten und Audio- und Videoaufnahmen des Bildschirms über WebRTC aufzuzeichnen.
Darüber hinaus wird Benutzern, die die von der Malware anvisierten Apps öffnen, eine Phishing-Seite angezeigt, die nach ihrem Benutzernamen und Passwort fragt, so das CERT.
Die genaue Art der Anwendungen, die von dieser Malware ausgewählt wurden, bleibt unklar, aber die Forscher sagten, dass es sich um jede App handeln könnte, die mit sensiblen Daten zu tun hat, wie z. B. solche für Banking und Messaging.
„Android-Schutzmaßnahmen verhindern, dass Malware irgendeinen Schaden anrichtet, bis der Benutzer die [accessibility] Dienst“, schloss CERT-AGID. „Einmal aktiviert, öffnet sich jedoch ein ‚Damm‘. Tatsächlich hat Android schon immer eine sehr freizügige Politik gegenüber App-Entwicklern verfolgt und die letztendliche Entscheidung, einer App zu vertrauen oder nicht, dem Endbenutzer überlassen.“
Haben Sie diesen Artikel interessant gefunden? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.
Einige Teile dieses Artikels stammen aus:
thehackernews.com
Trinity Cyber holt sich namhafte Board-Mitglieder