Oscorp Malware

Un nuovo malware Android chiamato Oscop è stato rilevato dalla società di sicurezza italiana AddressIntel. La minaccia si basa sul fatto che gli utenti gli concedano l'accesso al servizio di accessibilità Android con la scusa di essere per "Protezione personale". Se, in un primo momento, l'utente rifiuta il prompt, Oscop continuerà a riaprire il menu Impostazioni ogni 8 secondi fino a quando non riceve i permessi richiesti. Se è completamente implementata, la minaccia può svolgere un'ampia gamma di funzioni minacciose, tra cui stabilire una routine di keylogging, disinstallare altre applicazioni, effettuare chiamate e inviare SMS, raccogliere criptovaluta e raccogliere PIN per 2FA (autenticazione a 2 fattori) di Google. L'Oscop tenta inoltre di ottenere le credenziali utente per varie applicazioni distribuendo una pagina di phishing appositamente predisposta per ogni diversa applicazione che richiede nomi utente e password.

La minaccia viene distribuita come file denominato "Assistenza client.apk". I ricercatori sono anche riusciti a individuare il dominio responsabile dell'hosting della minaccia. Si chiama "supportoapp.com". La comunicazione con l'infrastruttura Command-and-Control (C2, C&C) per la campagna Oscop avviene tramite richieste HTTP POST.

Gli utenti dovrebbero ricordarsi sempre di prestare attenzione durante l'installazione di nuove applicazioni, soprattutto se la fonte è una dubbia piattaforma di terze parti e non uno degli store ufficiali delle applicazioni. Anche per le applicazioni legittime, vale la pena prestare attenzione alle diverse autorizzazioni che richiedono di ricevere, poiché molte mostrano un significativo overreach, chiedendo l'accesso a funzionalità non correlate direttamente alle loro funzionalità principali.