Oscorp Malware

Een nieuwe Android-malware genaamd de Oscop werd gedetecteerd door het Italiaanse beveiligingsbedrijf AddressIntel. De dreiging is afhankelijk van gebruikers die het toegang verlenen tot de Android-toegankelijkheidsservice onder het voorwendsel dat het om 'persoonlijke bescherming' gaat. Als de gebruiker de prompt aanvankelijk afwijst, blijft de Oscop het menu Instellingen elke 8 seconden opnieuw openen totdat hij de gevraagde machtigingen ontvangt. Als het volledig is geïmplementeerd, kan de dreiging een breed scala aan bedreigende functies uitvoeren, waaronder het opzetten van een keylogging-routine, het verwijderen van andere applicaties, bellen en sms'en, het verzamelen van cryptocurrency en het verzamelen van pincodes voor Google's 2FA (tweefactorauthenticatie). De Oscop probeert ook gebruikersreferenties voor verschillende applicaties te verkrijgen door een speciaal vervaardigde phishing-pagina te implementeren voor elke verschillende applicatie die om gebruikersnamen en wachtwoorden vraagt.

De dreiging wordt verspreid als een bestand met de naam 'Clientassistentie.apk'. De onderzoekers wisten ook het domein te lokaliseren dat verantwoordelijk was voor het hosten van de dreiging. Het heet 'supportoapp.com.' Communicatie met de Command-and-Control (C2, C&C) -infrastructuur voor de Oscop-campagne wordt gerealiseerd via HTTP POST-verzoeken.

Gebruikers dienen altijd voorzichtig te zijn bij het installeren van nieuwe applicaties, vooral als de bron een dubieus platform van een derde partij is en niet een van de officiële applicatiewinkels. Zelfs voor legitieme toepassingen is het de moeite waard om aandacht te besteden aan de verschillende toestemmingen die ze nodig hebben, aangezien velen een aanzienlijk bereik vertonen en om toegang vragen tot functies die niet rechtstreeks verband houden met hun kernfunctionaliteit.