UBEL Android Malware

UBEL Android-malware blev observeret at blive tilbudt på underjordiske hackingsfora som en ny Android-trussel. Imidlertid afslørede analysen af den underliggende kode et andet billede. Det viser sig, at UBEL deler betydelige ligheder med en tidligere opdaget Android-trussel kendt som Oscorp. Faktisk er forbindelserne mellem de to tilstrækkelige til at føre forskerne til den konklusion, at UBEL enten var en gren af det oprindelige Oscorp-projekt eller bare en omdøbning af den tidligere trussel udført af en anden hackergruppe. Det skal bemærkes, at UBEL-operatørerne løb ind i nogle problemer med deres cyberkriminelle klienter. Klager begyndte at dukke op over, at malware-værktøjet ikke var i stand til at fungere på bestemte Android-enheder, på trods af påstandene i kampagnen.

Truende kapaciteter

Truslen har et stort sæt funktioner, der gør det muligt for trusselsaktøren at opnå næsten fuld kontrol over de kompromitterede Android-enheder. Hovedmålet synes stadig at være at indsamle midler og få bankoplysninger fra ofrene. Truslen er i stand til at angribe flere veje, herunder krypto- og bankapplikation. Forskere opdagede, at malware er i stand til at udføre overlayangreb på mere end de 150 applikationer. Derudover kan truslen oprette forskellige keylogging-rutiner, etablere bagdøradgang via WebRTC-protokol og manipulere (opfange, læse, sende, slette) SMS og telefonopkald. I nogle tilfælde anvendte angriberne falske bankoperatører, der ringede til offeret over telefonen, mens malware i baggrunden indsamlede midler via uautoriserede bankoverførsler.

Ansatte teknikker

For at lette dets skadelige mål er UBEL afhængig af flere velkendte teknikker. En af dem indebærer misbrug af enhedens tilgængelighedstjenester. Designet til at give handicappede mulighed for at bruge mobile enheder mere komfortabelt, er tilgængelighedstjenester blevet et fælles mål for mobile malware-trusler. Ved at få adgang til dem kan truslerne fortsætte med at simulere klik på knapper eller skærmbevægelser. De samme tilladelser kan også give malware mulighed for at observere og høste udvalgte oplysninger fra den inficerede enhed. En anden metode giver UBEL mulighed for at udføre såkaldte Overlay-angreb. Normalt er dette den centrale opførsel af bank-trojanere. Denne trussel viser brugeren en falsk tilmeldings- eller login-side oven på den legitime side, der genereres af den målrettede applikation via WebView.