La nuova variante del malware Android “Oscorp” viola i servizi di accessibilità sul dispositivo per rubare i dati sensibili degli utenti. Quando l’utente apre le app mirate da Oscorp, reindirizza automaticamente l’utente a una pagina di phishing che richiede le credenziali di accesso.
Gli esperti di sicurezza di AddressIntel hanno scoperto un nuovo ceppo di malware Android che sfrutta i servizi di accessibilità nei dispositivi compromessi per rubare le credenziali di accesso e i contenuti multimediali degli utenti. Soprannominato “Oscorp” dal team italiano Computer Emergency Response (CERT-AGID), il malware richiede all’utente di installare un servizio di accessibilità attraverso il quale può leggere ciò che è presente e digitato sullo schermo.
Cos’è il malware Oscorp
Oscorp è stata individuata in un dominio supportoapp.com da cui scarica il file dannoso clientassistance.apk caricato sul server remoto. Al momento dell’installazione, all’utente viene chiesto di abilitare i servizi di accessibilità, che serviranno per accedere a una serie di permessi e stabilire comunicazioni con un server C2 per recuperare comandi aggiuntivi.
“Se l’utente non ha abilitato il servizio di accessibilità, il malware continua a riaprire la schermata delle impostazioni per farlo. In questo modo l’utente è spinto ad accettare nella speranza che lo schermo smetta di essere visualizzato. Se il servizio di accessibilità è abilitato, ma il permesso di accedere alle statistiche sull’utilizzo del dispositivo non è abilitato, il malware riapre continuamente la sua schermata delle impostazioni. Ciò consente al servizio di accessibilità di impostare automaticamente le autorizzazioni per il malware. Infine, lo stesso meccanismo viene utilizzato per consentire al malware di interrompere la modalità Doze e di ottenere almeno una delle autorizzazioni richieste nel manifest“, ha spiegato CERT-AGID.
Le autorizzazioni consentono a Oscorp di visualizzare varie pagine di phishing quando l’utente apre app specifiche. Di seguito è riportato l’elenco delle autorizzazioni richieste da Oscorp: “Non appena vengono concesse le autorizzazioni, viene effettuata una prima chiamata a ‘checkip.amazonaws.com‘ da cui ottiene l’indirizzo IP del dispositivo compromesso e successivamente comunica con il C2 a questo indirizzo ‘montanatony.Xyz‘ sulla porta 443 Il dominio C2 è riportato in chiaro all’interno dell’APK ma i comandi per le query successive si ottengono decodificando una serie di stringhe crittografate con AES-CBC e chiave incorporata“, ha aggiunto CERT-AGID.
Cosa può fare Oscorp
Il malware Oscorp sfrutta più funzionalità per eseguire automaticamente azioni privilegiate. Questi includono:
- Abilita la funzionalità keylogger
- Ottieni automaticamente le autorizzazioni e le capacità richieste dal malware
- Disinstalla l’app
- Effettuare chiamate
- Inviare SMS
- Rubare criptovaluta
- Rubare il PIN per la 2FA di Google
Sebbene non ci siano prove sul tipo di applicazioni target di Oscorp, il CERT-AGID ha affermato che questo tipo di malware si concentra principalmente su app che memorizzano informazioni sensibili come app bancarie e di messaggistica.
