UBEL ist der neue Oscorp – Android Credential Stealing Malware aktiv in der Wildnis

  • Eine Android-Malware, bei der beobachtet wurde, dass sie Zugänglichkeitsdienste des Geräts missbraucht, um Benutzeranmeldeinformationen von europäischen Bankanwendungen zu stehlen, hat sich im Rahmen einer neuen Kampagne, die im Mai 2021 begann, zu einem völlig neuen Botnet entwickelt.

    Das italienische CERT-AGID enthüllte Ende Januar Details über Oscorp, eine mobile Malware, die entwickelt wurde, um mehrere Finanzziele anzugreifen, mit dem Ziel, Geld von ahnungslosen Opfern zu stehlen. Oscorp ist in der Lage, SMS-Nachrichten abzufangen, Anrufe zu tätigen und Overlay-Attacken auf mehr als 150 mobile Anwendungen auszuführen, indem es ähnlich aussehende Anmeldebildschirme verwendet, um wertvolle Daten abzuschöpfen.

    [Blocked Image: https://thehackernews.com/images/-9r3EBoAeEj4/YMt1nGWkOMI/AAAAAAAA4Qk/feJCltGJrFcMPYuba5Ihr7WgYxNB6oG-gCLcBGAsYHQ/s300-e100/free-ad-7-300.png]

    Die Malware wurde über bösartige SMS-Nachrichten verbreitet, wobei die Angriffe oft in Echtzeit durchgeführt wurden, indem sich die Angreifer als Bankmitarbeiter ausgaben, um die Zielpersonen über das Telefon zu täuschen und sich über das WebRTC-Protokoll heimlich Zugang zum infizierten Gerät zu verschaffen und schließlich unbefugte Banküberweisungen durchzuführen. Obwohl seitdem keine neuen Aktivitäten gemeldet wurden, scheint es, dass Oscorp nach einer vorübergehenden Pause in Form eines Android-Botnets namens UBEL zurückgekehrt ist.

    [Blocked Image: https://thehackernews.com/images/-YxW-1p5CvVE/YQFOOP-bRWI/AAAAAAAADXk/mMkD--4P47EiOurDbezeFvZ6yuhiO26HgCLcBGAsYHQ/s728-e1000/android-malware.jpg]

    “Bei der Analyse einiger verwandter Samples fanden wir mehrere Indikatoren, die Oscorp und UBEL mit derselben bösartigen Codebasis in Verbindung bringen, was auf eine Abspaltung desselben Originalprojekts oder nur auf eine Umbenennung durch andere Partner schließen lässt, da der Quellcode von mehreren Partnern gemeinsam genutzt zu werden scheint. [threat actors]”, sagte das italienische Cybersicherheitsunternehmen Cliffy am Dienstag und beschrieb die Entwicklung der Malware.

    [Blocked Image: https://thehackernews.com/images/-hkQDbi8WuFc/YLy9N5FVDyI/AAAAAAAA4BQ/EWc29W968mAbwiuVzSw1vYyepjgzwGHawCLcBGAsYHQ/s728-e100/privileged_728.jpg]

    UBEL, das in Untergrundforen für $980 beworben wird, fordert wie sein Vorgänger aufdringliche Berechtigungen an, die es ihm ermöglichen, SMS-Nachrichten zu lesen und zu senden, Audiodaten aufzuzeichnen, Anwendungen zu installieren und zu löschen, sich nach dem Systemstart automatisch zu starten und Zugangsdienste auf Android zu missbrauchen, um sensible Informationen vom Gerät zu sammeln, wie z. B. Anmeldedaten und Zwei-Faktor-Authentifizierungscodes, deren Ergebnisse an einen entfernten Server exfiltriert werden.

    Sobald die Malware auf das Gerät heruntergeladen wurde, versucht sie, sich als Dienst zu installieren und ihre Anwesenheit vor dem Ziel zu verbergen, wodurch sie über einen längeren Zeitraum hinweg bestehen bleibt.

    [Blocked Image: https://thehackernews.com/images/-mmVtVWV8ui4/YQFNV91xwPI/AAAAAAAADXc/IT0D2oqZhC0X97ArnTMgGxjpHh-giy8IQCLcBGAsYHQ/s728-e1000/android-malware.jpg]

    Interessanterweise umgeht die Verwendung von WebRTC zur Interaktion mit dem kompromittierten Android-Telefon in Echtzeit die Notwendigkeit, ein neues Gerät zu registrieren und ein Konto zu übernehmen, um betrügerische Aktivitäten durchzuführen.

    “Das Hauptziel für diese [threat actor] Funktion ist es, die Registrierung eines neuen Geräts zu vermeiden und damit die Möglichkeit, als verdächtig eingestuft zu werden, drastisch zu reduzieren, da die Fingerabdruckindikatoren des Geräts aus Sicht der Bank bekannt sind”, so die Forscher.

    Die geografische Verteilung der Banken und anderer Apps, die von Oscorp ins Visier genommen wurden, umfasst u. a. Spanien, Polen, Deutschland, die Türkei, die USA, Italien, Japan, Australien, Frankreich und Indien.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com