Oscorp w Google Sklepie Play, czyli nowy, szczególnie groźny malware na Androida
Przed nowym zagrożeniem ostrzega posiadaczy smartfonów z Androidem włoski CERT, zastrzegając jednak, że atak jest tak naprawdę wymierzony we wszystkich mieszkańców Europy. Co alarmujące, jak stwierdzono, ofiara musi liczyć się z problemami na polu prawnym.
Malware Oscorp, bo o nim tu mowa, jest dystrybuowany jako element rzekomych aplikacji z ułatwieniami dostępu, adresowanych m.in. do osób starszych i niepełnosprawnych. Włosi ostrzegają przede wszystkim przed domeną supportoapp[.]com, choć ta została już wyczyszczona. Niemniej, jak zauważono w raporcie, szkodnik może występować m.in. także w Sklepie Play.
Po zainstalowaniu na smartfonie ofiary, pod pretekstem uruchomienia usługi dostępności Oscorp prosi o przyznanie rozmaitych uprawnień, w tym dostępu do wiadomości oraz innych aplikacji. Co ciekawe, jeśli użytkownik nie wyrazi zgody, będzie regularnie co 8 sekund bombardowany ekranem ustawień. Niestety wiele osób, nawet tych początkowo sceptycznych, dla spokoju ulegnie. To implikuje szereg dalszych wydarzeń.
Oscorp łączy się z serwerem C&C
Wysyła do niego podstawowe dane telemetryczne o zainfekowanym telefonie (model, listę aplikacji, dane o operatorze), odbiera zaś wytyczne dotyczące konkretnego ataku.
Jak wylicza CERT-AGID, malware ma wręcz kolosalną listę funkcji. Potrafi nawiązywać połączenia i wysyłać SMS-y w imieniu właściciela telefonu. Może też rozmowy nagrywać. Prócz tego przejmuje pełną kontrolę nad domyślną przeglądarką internetową, co daje mu możliwość kierowania na wybrane przez napastników strony i pobierania plików.
Najgroźniejszy jest jednak moduł phishingowy. Odpowiednio skonfigurowany Oscorp przechwyci wpisywane hasła, a nawet kody weryfikacji dwustopniowej z aplikacji Google Authenticator. Ponadto, przekieruje transakcje dokonywane w kryptowalutach na portfele napastników.
Co martwi szczególnie, to fakt, że duża część funkcji Oscorpa nie wynika z łamania przez niego zabezpieczeń. Malware bazuje bowiem w dużym stopniu na uprawnieniach systemowych, które zdobywa podstępem, żerując na łatwowierności grupy docelowej. Według Włochów, istnieje ryzyko, że przechwycone telefony zostaną wykorzystane w kolejnych, bardziej bezpośrednich oszustwach. Tak, aby zrzucić winę na właściciela sprzętu.
Jak podkreślono, ustalenie faktycznego winnego w takich sytuacjach może być naprawdę dużym wyzwaniem, podobnie jak wytłumaczenie się z całego zajścia. Dlatego też CERT-AGID apeluje, by pod żadnym pozorem nie instalować aplikacji nieznanego pochodzenia.