Oscorp新款Android凭据窃取恶意软件UBEL在野利用活跃

Oscorp新款Android凭据窃取恶意软件UBEL在野利用活跃

一个 Android 恶意软件被观察到滥用设备中的可访问性服务从欧洲银行应用程序中劫持用户凭据,现已演变成一个全新的僵尸网络。

意大利的 CERT-AGID 在 1 月下旬披露了Oscorp 的详细信息,这是一种移动恶意软件,旨在攻击多个金融目标,目的是从毫无戒心的受害者那里窃取资金。它的功能包括通过使用相似的登录屏幕来窃取有价值的数据,从而拦截 SMS 消息、拨打电话以及对 150 多个移动应用程序执行覆盖攻击的能力。

该恶意软件是通过恶意 SMS 消息分发的,攻击通常是实时进行的,通过冒充银行运营商通过电话欺骗目标,并通过 WebRTC 协议秘密获取对受感染设备的访问权限,并最终进行未经授权的银行转账。虽然此后没有报告任何新活动,但 Oscorp 似乎在暂时中断后以名为 UBEL 的 Android 僵尸网络的形式回归。

Oscorp新款Android凭据窃取恶意软件UBEL在野利用活跃

“通过分析一些相关样本,我们发现多个指标将 Oscorp 和 UBEL 链接到同一个恶意代码库,这表明是同一个原始项目的分叉或其他附属公司的品牌重塑,因为其源代码似乎在多个 [威胁演员],”意大利网络安全公司 Cleafy周二表示,描绘了恶意软件的演变。

UBEL 在地下论坛上以 980 美元的价格做广告,与其前身一样,请求侵入性权限,允许它读取和发送 SMS 消息、录制音频、安装和删除应用程序、系统启动后自动启动,并滥用 Android 上的辅助功能服务来积累来自设备的敏感信息,例如登录凭据和双因素身份验证代码,其结果会被泄露回远程服务器。

一旦下载到设备上,恶意软件就会尝试将自身安装为一项服务并向目标隐藏其存在,从而实现长时间的持久性。

Oscorp新款Android凭据窃取恶意软件UBEL在野利用活跃

有趣的是,使用 WebRTC 与受感染的 Android 手机实时交互避免了注册新设备和接管帐户以执行欺诈活动的需要。

“这个 [威胁行为者] 使用此功能的主要目标是避免‘新设备注册’,从而大大降低被标记为‘可疑’的可能性,因为从银行的角度来看,设备的指纹识别指标是众所周知的, “研究人员说。

Oscorp 瞄准的银行和其他应用程序的地理分布包括西班牙、波兰、德国、土耳其、美国、意大利、日本、澳大利亚、法国和印度等。

 

Oscorp新款Android凭据窃取恶意软件UBEL在野利用活跃

极牛网精选文章《Oscorp新款Android凭据窃取恶意软件UBEL在野利用活跃》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/15620.html

(26)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
上一篇 2021年7月28日 下午6:10
下一篇 2021年7月29日 上午11:47

相关推荐

发表评论

登录后才能评论