UBEL Android Malware

È stato osservato che il malware Android UBEL è stato offerto nei forum di hacking sotterranei come una nuova minaccia per Android. Tuttavia, l'analisi del suo codice sottostante ha rivelato un quadro diverso. Si scopre che UBEL condivide somiglianze significative con una minaccia Android rilevata in precedenza nota come Oscorp. In effetti, i collegamenti tra i due sono sufficienti per portare i ricercatori alla conclusione che UBEL fosse o un ramo del progetto Oscorp originale o solo un rebranding della precedente minaccia eseguita da un diverso gruppo di hacker. Va notato che gli operatori di UBEL hanno riscontrato alcuni problemi con i loro clienti criminali informatici. Sono iniziate a sorgere reclami secondo cui lo strumento malware non era in grado di funzionare su alcuni dispositivi Android, nonostante le affermazioni fatte nella sua promozione.

Capacità minacciose

La minaccia possiede un ampio set di funzionalità che consentono all'autore della minaccia di ottenere il controllo quasi completo sui dispositivi Android compromessi. L'obiettivo principale sembra essere ancora quello di raccogliere fondi e ottenere credenziali bancarie dalle vittime. La minaccia è in grado di attaccare più strade, tra cui criptovalute e applicazioni bancarie. I ricercatori hanno scoperto che il malware è in grado di eseguire attacchi overlay su più di 150 applicazioni. Inoltre, la minaccia può impostare varie routine di keylogging, stabilire un accesso backdoor tramite il protocollo WebRTC e manipolare (intercettare, leggere, inviare, eliminare) SMS e telefonate. In alcuni casi, gli aggressori hanno impiegato finti operatori bancari che hanno chiamato la vittima al telefono, mentre in background il malware raccoglieva fondi tramite bonifici bancari non autorizzati.

Tecniche impiegate

Per facilitare i suoi obiettivi dannosi, UBEL si basa su diverse tecniche ben note. Uno di questi riguarda l'abuso dei servizi di accessibilità del dispositivo. Progettati per consentire alle persone con disabilità di utilizzare i dispositivi mobili in modo più confortevole, i servizi di accessibilità sono diventati un obiettivo comune per le minacce malware mobili. Ottenendo l'accesso ad essi, le minacce possono procedere alla simulazione di clic sui pulsanti o gesti dello schermo. Le stesse autorizzazioni possono anche consentire al malware di osservare e raccogliere informazioni selezionate dal dispositivo infetto. Un altro metodo consente a UBEL di eseguire i cosiddetti attacchi Overlay. Di solito, questo è il comportamento principale dei trojan bancari. Questa minaccia mostra all'utente una falsa pagina di registrazione o accesso, oltre a quella legittima generata dall'applicazione mirata tramite WebView.