Soprannominato Oscorp dagli analisti del CERT-AgID e identificato dai ricercatori di AddressIntel, è un nuovo malware per Android che abusa del servizio di accessibilità del sistema operativo per rubare le credenziali della vittima.
Il servizio di accessibilità, infatti, è uno speciale componente delle app utilizzato per fornire funzionalità di aiuto alla lettura e all’uso del dispositivo agli utenti diversamente abili. In particolare, è in grado di leggere tutto quello che è presente sullo schermo, i testi che l’utente digita e può anche simulare il tocco sullo schermo.
Indice degli argomenti
I dettagli tecnici di Oscorp
Secondo gli analisti del CERT-AgID, Oscorp sta prendendo di mira in particolare gli utenti italiani attraverso una campagna di phishing che induce le vittime a scaricare il file Assistenzaclienti.apk (oppure CustomerProtection.apk) dal dominio supportoapp[.]com.
Eseguendo il file APK viene installata l’app malevola Protezione Cliente che, al primo avvio, oltre a stabilire le comunicazioni con il server C2 di comando e controllo per recuperare ulteriori comandi, richiede all’utente di abilitare il servizio di accessibilità: così facendo, il malware è in grado di attivare il modulo keylogger e accedere ad una serie di permessi alle impostazioni di Android. In questo modo, Oscorp è in grado di “leggere” tutto quello che appare sul display dello smartphone compromesso e tutto ciò che viene digitato dalla vittima.
Ecco tutti i permessi, alquanto intrusivi, richiesti dal malware alla vittima:
- CALL_PHONE
- CAMERA
- DISABLE_KEYGUARD
- INTERNET
- READ_PHONE_STATE
- READ_SMS
- RECEIVE_MMS
- RECEIVE_SMS
- RECORD_AUDIO
- SEND_SMS
- SYSTEM_ALERT_WINDOW
- WRITE_EXTERNAL_STORAGE
- WRITE_SMS
- INJECT_EVENTS
- PACKAGE_USAGE_STATS
- READ_PRIVILEGED_PHONE_STATE
- ACCESS_NETWORK_STATE
- ACCESS_SUPERUSER
- MODIFY_AUDIO_SETTINGS
- READ_EXTERNAL_STORAGE
- RECEIVE_BOOT_COMPLETED
- REQUEST_DELETE_PACKAGES
- REQUEST_IGNORE_BATTERY_OPTIMIZATIONS
- REQUEST_INSTALL_PACKAGES
- WAKE_LOCK
Come se non bastasse, Oscorp è programmato per visualizzare ripetutamente la schermata delle impostazioni ogni otto secondi fino a quando l’utente non attiva i permessi per l’accessibilità e le statistiche di utilizzo del dispositivo, mettendolo sotto pressione al fine di indurlo a concedere i privilegi extra all’app.
Ottenuti i permessi, il malware effettua una prima chiamata al dominio checkip.amazonaws.com da cui ricava l’indirizzo IP del dispositivo compromesso e successivamente dialoga con il server C2 sulla porta 443 utilizzando l’indirizzo montanatony[.]xyz.
Infine, disabilita tutte le applicazioni che contengono queste stringhe nel loro nome:
- security
- pcprotect
- totalav
- clean
- virus
- junk
- malware
- anti
- guard
- boost
- scan
- trendmicro
- symantec
- protect
- avast
- kms
- avira
- eset
- lookout
- drweb
- cleaner
- com.wsandroid.suite
Come avviene il furto delle credenziali
Una volta ottenuto l’accesso al dispositivo con privilegi elevati, il malware Oscorp sfrutta i permessi per:
- registrare le sequenze di tasti premuti dall’utente;
- disinstallare le app sul dispositivo;
- effettuare chiamate;
- inviare SMS;
- rubare eventuali criptovalute reindirizzando i pagamenti effettuati tramite l’app Blockchain.com Wallet;
- accedere ai codici di autenticazione a due fattori dell’app Google Authenticator.
A conclusione della catena infettiva, il malware Oscorp inizia quindi ad esfiltrare i dati personali della vittima, insieme ad alcune informazioni di sistema tra cui le app installate, il modello di telefono, e l’operatore telefonico.
Per il furto di credenziali Oscorp sfrutta le classiche pagine di phishing che vengono visualizzate nel momento in cui la vittima apre una delle app prese di mira dal malware. Le finte pagine di login si sovrappongono quindi all’interfaccia principale dell’app proprio con l’intento di ingannare la vittima a fornire le informazioni.
Al momento non è stato ancora possibile stilare una lista di applicazioni lecite prese di mira dal malware Oscorp, ma secondo gli analisti del CERT-AgID potrebbero essere tutte quelle che trattano dati sensibili degli utenti, come quelle per il banking e la messaggistica.
Come prevenire l’infezione del malware Oscorp
Secondo Pierluigi Paganini, docente al master cybersecurity alla Luiss di Roma, “il malware Oscorp pur non essendo particolarmente sofisticato rappresenta minaccia non trascurabile. Ha caratteristiche non dissimili ad altri infostealer per Android e l’analisi degli artefatti suggerisce la volontà da parte dei suoi autori di colpire gli utenti italiani. Non possiamo escludere, pertanto, che vi siano gruppi che operano nel nostro Paese e che abbiano capacità di sviluppo di nuovi codici malevoli oppure che sia in grado di modificare componenti di nuovi malware disponibili nell’underground criminale”.
“Una misura fondamentale per la protezione dei nostri dispositivi”, suggerisce ancora il Professor Paganini, “consiste nello scaricare app solo da fonti ufficiali ed affidabili e prestare molta attenzione ad informazioni che lo store ufficiale ci fornisce, come numero di download e feedback dei clienti. È già accaduto in passato che applicazioni malevole sono state pubblicate sullo store ufficiale. Manteniamo i nostri dispositivi aggiornati, così come le applicazioni installate, ed installiamo soluzioni di sicurezza ed antimalware”.
È evidente, dunque, che il malware Oscorp sfrutta le debolezze del fattore umano per diffondersi.
John Shier, Senior Security Advisor di Sophos, fa notare che “il malware Oscorp fornisce un altro esempio del perché può essere pericoloso installare app con caricamento laterale sui dispositivi Android. Mentre le attività dannose di questa app sembrano limitate al furto di credenziali, i dati ottenuti vengono ampiamente sfruttati dai cybercriminali negli attacchi contro individui e aziende. Sebbene il malware mobile sia ormai comparso anche sugli app store ufficiali, questi vengono ancora considerati il modo più sicuro per gli utenti di accedere alle app: qualunque altra scelta implica un rischio più elevato del necessario”.
Come fanno notare gli analisti del CERT-AgID, i sistemi di protezioni di Android impediscono al malware di fare qualsiasi tipo di danno almeno fino a quando l’utente non abilita il servizio di accessibilità. Di fatto, quindi, Android lascia la decisione ultima di fidarsi o meno di un’app all’utente finale.
Le cui barriere difensive crollano abbastanza facilmente di fronte a campagne mirate e ben studiate di phishing o di social engineering, come nel caso del malware Oscorp.
Per prevenire la minaccia, dunque, è sempre importante:
- scaricare le applicazioni e i file APK delle app solo da store ufficiali e certificati;
- valutare l’effettiva necessità di attivare il servizio di accessibilità se non strettamente necessario;
- prestare sempre la massima attenzione ai permessi concessi alle applicazioni: richiedere il permesso di registrare audio o scrivere un SMS, ad esempio, come nel caso del malware Oscorp, dovrebbero immediatamente far scattare un campanello d’allarme e bloccare l’installazione dell’app.
