« Oscorp », une nouvelle famille de logiciels malveillants pour Android qui abusent des services d’accessibilité

  • Post author:
  • Post category:Alertes et Avis

Origine: bjCSIRT

Numéro: 2021/ALERTE/002

Date de l’alerte: 29/01/2021

APERÇU :

Surnommé Oscorp, ce logiciel malveillant abuse des services d’accessibilité de l’appareil pour procéder au vol des informations d’identification de l’utilisateur, au blocage de l’appareil et à des enregistrements audios et vidéos.

DESCRIPTION :

Le logiciel malveillant pour Android Oscorp, incite l’utilisateur à installer un service d’accessibilité avec lequel l’attaquant peut lire ce qui est affiché à l’écran de la victime. L’application malveillante « Assistenzaclienti.apk » ou « Customer Protection » est distribuée depuis un domaine nommé supportoapp[.]com, et demande lors de son installation vingt-huit (28) autorisations intrusives pour activer le service d’accessibilité et établir des communications avec un serveur de commande et de contrôle (C2) afin de récupérer des commandes supplémentaires. En outre, le logiciel malveillant rouvre à plusieurs reprises l’interface Paramètres toutes les huit (08) secondes jusqu’à ce que l’utilisateur active les autorisations pour les statistiques d’accessibilité et d’utilisation de l’appareil, poussant ainsi l’utilisateur à accorder des privilèges supplémentaires.

Une fois l’accès fourni, le logiciel malveillant exploite les autorisations pour enregistrer les frappes au clavier, désinstaller des applications sur l’appareil, passer des appels, envoyer et recevoir des SMS, voler de la crypto-monnaie en redirigeant les paiements effectués via l’application blockchain[.]com et accéder aux codes d’authentification à deux facteurs de Google Authenticator. Dans la dernière étape, le logiciel malveillant exfiltre les données capturées, ainsi que les informations système (par exemple, les applications installées, le modèle de téléphone, l’opérateur GSM) vers le serveur C2. En plus de récupérer du serveur C2 les commandes qui lui permettent de lancer l’application Google Authenticator, Oscorp vole des SMS, lance des URL spécifiques et enregistre l’audio et la vidéo de l’écran via WebRTC.

 

IMPACT :

  • Vol des informations des utilisateurs
  • Exécution de code à distance

 

SYSTEMES AFFECTÉS :

  • Les téléphones tournant sous Android

 

MESURES À PRENDRE :

  • Appliquer les dernières mises à jour d’Android
  • Installer des applications de confiance
  • Restreindre les autorisations des applications

 

REFERENCES :

Partagez sur vos réseaux.