UBEL adalah Oscorp Baru — Malware Pencuri Kredensial Android yang Aktif di Alam Liar

  • Whatsapp
Malware Pencuri Kredensial Android

Malware Android yang diamati menyalahgunakan layanan aksesibilitas di perangkat untuk membajak kredensial pengguna dari aplikasi perbankan Eropa telah berubah menjadi botnet yang sama sekali baru sebagai bagian dari kampanye baru yang dimulai pada Mei 2021.

CERT-AGID Italia, pada akhir Januari, mengungkapkan rincian tentang Oscorp, malware seluler yang dikembangkan untuk menyerang beberapa target keuangan dengan tujuan mencuri dana dari korban yang tidak menaruh curiga. Fitur-fiturnya termasuk kemampuan untuk mencegat pesan SMS dan melakukan panggilan telepon dan melakukan Overlay Attacks untuk lebih dari 150 aplikasi seluler dengan memanfaatkan layar login yang mirip untuk menyedot data berharga.

Bacaan Lainnya

Tim Stack Overflow

Malware tersebut didistribusikan melalui pesan SMS berbahaya, dengan serangan yang sering dilakukan secara real-time dengan menyamar sebagai operator bank untuk menipu target melalui telepon dan secara diam-diam mendapatkan akses ke perangkat yang terinfeksi melalui protokol WebRTC dan pada akhirnya melakukan transfer bank yang tidak sah. Meskipun tidak ada aktivitas baru yang dilaporkan sejak saat itu, tampaknya Oscorp mungkin telah kembali setelah jeda sementara dalam bentuk botnet Android yang dikenal sebagai UBEL.

Malware Pencuri Kredensial Android

“Dengan menganalisis beberapa sampel terkait, kami menemukan beberapa indikator yang menghubungkan Oscorp dan UBEL ke basis kode berbahaya yang sama, menunjukkan percabangan dari proyek asli yang sama atau hanya rebranding oleh afiliasi lain, karena kode sumbernya tampaknya dibagikan di antara beberapa [threat actors],” Perusahaan keamanan siber Italia Cleafy dikatakan Selasa, memetakan evolusi malware.

Mencegah Serangan Ransomware

Diiklankan di forum bawah tanah seharga $980, UBEL, seperti pendahulunya, meminta izin mengganggu yang memungkinkannya membaca dan mengirim pesan SMS, merekam audio, menginstal dan menghapus aplikasi, meluncurkan sendiri secara otomatis setelah sistem boot, dan menyalahgunakan layanan aksesibilitas di Android untuk mengumpulkan informasi sensitif dari perangkat seperti kredensial login dan kode autentikasi dua faktor, yang hasilnya dieksfiltrasi kembali ke server jarak jauh.

Setelah diunduh di perangkat, malware mencoba menginstal dirinya sendiri sebagai layanan dan menyembunyikan keberadaannya dari target, sehingga mencapai kegigihan untuk waktu yang lama.

Malware Pencuri Kredensial Android

Menariknya, penggunaan WebRTC untuk berinteraksi dengan ponsel Android yang disusupi secara real-time menghindari kebutuhan untuk mendaftarkan perangkat baru dan mengambil alih akun untuk melakukan aktivitas penipuan.

“Tujuan utama untuk ini [threat actor] dengan menggunakan fitur ini, adalah untuk menghindari ‘pendaftaran perangkat baru’, sehingga secara drastis mengurangi kemungkinan ditandai sebagai ‘mencurigakan’ karena indikator sidik jari perangkat terkenal dari sudut pandang bank,” kata para peneliti.

Distribusi geografis bank dan aplikasi lain yang ditargetkan oleh Oscorp terdiri dari Spanyol, Polandia, Jerman, Turki, AS, Italia, Jepang, Australia, Prancis, dan India, antara lain.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *