Oscorp w Google Sklepie Play, czyli nowy, szczególnie groźny malware na Androida
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
Przed nowym zagrożeniem ostrzega posiadaczy smartfonów z Androidem włoski CERT, zastrzegając jednak, że atak jest tak naprawdę wymierzony we wszystkich mieszkańców Europy. Co alarmujące, jak stwierdzono, ofiara musi liczyć się z problemami na polu prawnym.
Malware Oscorp, bo o nim tu mowa, jest dystrybuowany jako element rzekomych aplikacji z ułatwieniami dostępu, adresowanych m.in. do osób starszych i niepełnosprawnych. Włosi ostrzegają przede wszystkim przed domeną supportoapp[.]com, choć ta została już wyczyszczona. Niemniej, jak zauważono w raporcie, szkodnik może występować m.in. także w Sklepie Play.
Po zainstalowaniu na smartfonie ofiary, pod pretekstem uruchomienia usługi dostępności Oscorp prosi o przyznanie rozmaitych uprawnień, w tym dostępu do wiadomości oraz innych aplikacji. Co ciekawe, jeśli użytkownik nie wyrazi zgody, będzie regularnie co 8 sekund bombardowany ekranem ustawień. Niestety wiele osób, nawet tych początkowo sceptycznych, dla spokoju ulegnie. To implikuje szereg dalszych wydarzeń.
Oscorp łączy się z serwerem C&C
Wysyła do niego podstawowe dane telemetryczne o zainfekowanym telefonie (model, listę aplikacji, dane o operatorze), odbiera zaś wytyczne dotyczące konkretnego ataku.
Jak wylicza CERT-AGID, malware ma wręcz kolosalną listę funkcji. Potrafi nawiązywać połączenia i wysyłać SMS-y w imieniu właściciela telefonu. Może też rozmowy nagrywać. Prócz tego przejmuje pełną kontrolę nad domyślną przeglądarką internetową, co daje mu możliwość kierowania na wybrane przez napastników strony i pobierania plików.
Najgroźniejszy jest jednak moduł phishingowy. Odpowiednio skonfigurowany Oscorp przechwyci wpisywane hasła, a nawet kody weryfikacji dwustopniowej z aplikacji Google Authenticator. Ponadto, przekieruje transakcje dokonywane w kryptowalutach na portfele napastników.
Co martwi szczególnie, to fakt, że duża część funkcji Oscorpa nie wynika z łamania przez niego zabezpieczeń. Malware bazuje bowiem w dużym stopniu na uprawnieniach systemowych, które zdobywa podstępem, żerując na łatwowierności grupy docelowej. Według Włochów, istnieje ryzyko, że przechwycone telefony zostaną wykorzystane w kolejnych, bardziej bezpośrednich oszustwach. Tak, aby zrzucić winę na właściciela sprzętu.
Jak podkreślono, ustalenie faktycznego winnego w takich sytuacjach może być naprawdę dużym wyzwaniem, podobnie jak wytłumaczenie się z całego zajścia. Dlatego też CERT-AGID apeluje, by pod żadnym pozorem nie instalować aplikacji nieznanego pochodzenia.