Oscorp: Cert-Agid allerta sul nuovo malware Android che ruba credenziali

malware oscorp per android
Condividi:

Ricercatori italiani hanno rivelato una nuova famiglia di malware Android che abusa dei servizi di accessibilità del dispositivo per dirottare le credenziali dell’utente e registrare audio e video.

Il malware Oscorp

Soprannominato “Oscorp” dal CERT-AGID italiano, il malware “induce l’utente a installare un servizio di accessibilità con cui gli aggressori possono leggere ciò che è presente e ciò che viene digitato sullo schermo“.

Così chiamato per via del titolo della pagina di accesso del suo server commando & control (C2), il file APK (Android Application Package) malevolo (chiamato “Assistenzaclienti.apk” o “Protezione del cliente”) viene distribuito tramite un dominio che al momento dell’installazione richiede autorizzazioni intrusive per abilitare il servizio di accessibilità e stabilisce comunicazioni con un server C2 per recuperare comandi aggiuntivi.

Un malware particolarmente invasivo

Inoltre, il malware apre ripetutamente la schermata Impostazioni ogni otto secondi fino a quando l’utente non attiva le autorizzazioni per l’accessibilità e le statistiche sull’utilizzo del dispositivo, spingendo così l’utente a concedere i privilegi aggiuntivi.

Cosa fa Oscorsp

Una volta fornito l’accesso, il malware sfrutta le autorizzazioni per registrare le sequenze di tasti, disinstallare app sul dispositivo, effettuare chiamate, inviare messaggi SMS, rubare criptovaluta reindirizzando i pagamenti effettuati tramite l’app Blockchain.com Wallet e accedere ai codici di autenticazione a due fattori da Google App.

Il malware esfiltra i dati acquisiti, insieme alle informazioni di sistema (ad es. App installate, modello di telefono, operatore telefonico), al server C2, avvia URL specifici e registra audio e video dello schermo tramite WebRTC.

Anche pericolo phishing

Secondo Cert-Agid, agli utenti che aprono le app prese di mira dal malware viene visualizzata una pagina di phishing che richiede nome utente e password, con una schermata varia da app a app e che è progettata con l’intento di ingannare la vittima per carpire le informazioni.

Il tipo esatto di applicazioni individuate da questo malware non è chiaro, ma i ricercatori hanno affermato che potrebbe essere qualsiasi app che si occupa di dati sensibili, come quelli per il banking e la messaggistica.

Le protezioni Android impediscono al malware di fare qualsiasi tipo di danno fino a quando l’utente non abilita il servizio“, ha concluso un portavoce del CERT-AGID. “Una volta abilitato, tuttavia, si apre una ‘diga’. In effetti, Android ha sempre avuto una politica molto permissiva nei confronti degli sviluppatori di app, lasciando all’utente finale la decisione finale di fidarsi o meno di un’app“.

Ti è piaciuto questo articolo? Contattaci per maggiori informazioni:

Condividi:

2 commenti su “Oscorp: Cert-Agid allerta sul nuovo malware Android che ruba credenziali”

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.