Oscorp, nuevo malware para Android

Publicado el 1 febrero 2021 ¬ 18:08 pmh.mscComentarios desactivados en Oscorp, nuevo malware para Android

El CERT italiano nos advierte sobre una nueva familia de malware para Android que hace uso de los permisos de accesibilidad de nuestro dispositivo para robar nuestras credenciales y grabar audio y vídeo.

El malware ha sido bautizado por AddressIntel como Oscorp. Este malware no es distinto a los demás pero a diferencia de otros derivados de Anubis, el análisis de este malware es algo más inmediato al no contener un archivo DEX cifrado con RC4.

Según nos muestran en el análisis hecho por el CERT italiano no es complicado descifrar las cadenas que hay en su interior y nos ponen un ejemplo de cómo descifrar las cadenas usando cyberchef ademas de mostrarnos con una imagen un sencillo esquema de cómo es el proceso.

El APK malicioso se distribuye a través de un dominio llamado «supportoapp [] Com» cuyo análisis en Virustotal podéis encontrar en este enlace.

En el momento de instalación del APK se solicitan permisos de accesibilidad para poder comenzar con la comunicación con el C2 y recuperar comandos adicionales.

Si no se conceden los permisos de accesibilidad el malware está programado para abrir la ventana cada 8 segundos y así hacer presión para que el usuario los active.

Cuando los permisos han sido aceptados el malware empieza a registrar pulsaciones de teclas, desinstalar aplicaciones en el dispositivo, hacer llamadas, enviar mensajes SMS, robar criptomonedas redirigiendo los pagos realizados a través de la aplicación Blockchain.com y también accede a los códigos de autenticación para poder saltar la verificación en dos pasos de Google.

Posteriormente el malware filtra los datos al servidor C2, entre los que se incluyen todos los mencionados anteriormente y las grabaciones de audio y video de la pantalla que se hicieron a través de WebRTC.

Además, como era de esperar, si la aplicación maliciosa detecta que el usuario está abriendo una de las aplicaciones objetivo para las que incorpora un phishing, éste se le muestra a los usuarios con la intención de robar sus credenciales.

Es muy importante entender que los sistemas de seguridad de Android evitan que las aplicaciones puedan causar algún tipo de daño hasta que se habilita el servicio de accesibilidad. Por esto es necesario desconfiar de cualquier aplicación que nos solicite este tipo de permisos ya que Android deja al usuario la libertad de confiar o no en las aplicaciones que instala en su dispositivo.

 

 

Ver información original al respecto en Fuente>

 

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies