mercoledì, Dicembre 1, 2021
HomeAPPAndroidIl nuovo malware Android "Oscorp" diffonde un APK dannoso

Il nuovo malware Android “Oscorp” diffonde un APK dannoso

La nuova variante del malware Android “Oscorp” viola i servizi di accessibilità sul dispositivo per rubare i dati sensibili degli utenti. Quando l’utente apre le app mirate da Oscorp, reindirizza automaticamente l’utente a una pagina di phishing che richiede le credenziali di accesso.

Gli esperti di sicurezza di AddressIntel hanno scoperto un nuovo ceppo di malware Android che sfrutta i servizi di accessibilità nei dispositivi compromessi per rubare le credenziali di accesso e i contenuti multimediali degli utenti. Soprannominato “Oscorp” dal team italiano Computer Emergency Response (CERT-AGID), il malware richiede all’utente di installare un servizio di accessibilità attraverso il quale può leggere ciò che è presente e digitato sullo schermo.

Cos’è il malware Oscorp

Oscorp è stata individuata in un dominio supportoapp.com da cui scarica il file dannoso clientassistance.apk caricato sul server remoto. Al momento dell’installazione, all’utente viene chiesto di abilitare i servizi di accessibilità, che serviranno per accedere a una serie di permessi e stabilire comunicazioni con un server C2 per recuperare comandi aggiuntivi.

READ  Android 12 è arrivato: novità e smartphone che lo riceveranno

Se l’utente non ha abilitato il servizio di accessibilità, il malware continua a riaprire la schermata delle impostazioni per farlo. In questo modo l’utente è spinto ad accettare nella speranza che lo schermo smetta di essere visualizzato. Se il servizio di accessibilità è abilitato, ma il permesso di accedere alle statistiche sull’utilizzo del dispositivo non è abilitato, il malware riapre continuamente la sua schermata delle impostazioni. Ciò consente al servizio di accessibilità di impostare automaticamente le autorizzazioni per il malware. Infine, lo stesso meccanismo viene utilizzato per consentire al malware di interrompere la modalità Doze e di ottenere almeno una delle autorizzazioni richieste nel manifest“, ha spiegato CERT-AGID.

Le autorizzazioni consentono a Oscorp di visualizzare varie pagine di phishing quando l’utente apre app specifiche. Di seguito è riportato l’elenco delle autorizzazioni richieste da Oscorp: “Non appena vengono concesse le autorizzazioni, viene effettuata una prima chiamata a ‘checkip.amazonaws.com‘ da cui ottiene l’indirizzo IP del dispositivo compromesso e successivamente comunica con il C2 a questo indirizzo ‘montanatony.Xyz‘ sulla porta 443 Il dominio C2 è riportato in chiaro all’interno dell’APK ma i comandi per le query successive si ottengono decodificando una serie di stringhe crittografate con AES-CBC e chiave incorporata“, ha aggiunto CERT-AGID.

READ  SHAREit: un bug nell'app per Android può mettere a rischio i tuoi dati

Cosa può fare Oscorp

Il malware Oscorp sfrutta più funzionalità per eseguire automaticamente azioni privilegiate. Questi includono:

  • Abilita la funzionalità keylogger
  • Ottieni automaticamente le autorizzazioni e le capacità richieste dal malware
  • Disinstalla l’app
  • Effettuare chiamate
  • Inviare SMS
  • Rubare criptovaluta
  • Rubare il PIN per la 2FA di Google

Sebbene non ci siano prove sul tipo di applicazioni target di Oscorp, il CERT-AGID ha affermato che questo tipo di malware si concentra principalmente su app che memorizzano informazioni sensibili come app bancarie e di messaggistica.

Usi Telegram?

Unisciti al nostro canale per restare sempre aggiornato

Seguici sui social!

Instagram

Twitter

linkedin

Facebook

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui

- Advertisment -

articoli recenti