UBEL Android-malware

De UBEL Android-malware werd op ondergrondse hackforums aangeboden als een nieuwe Android-bedreiging. Analyse van de onderliggende code bracht echter een ander beeld aan het licht. Het blijkt dat UBEL belangrijke overeenkomsten vertoont met een eerder gedetecteerde Android-bedreiging die bekend staat als Oscorp. In feite zijn de verbanden tussen de twee voldoende om de onderzoekers tot de conclusie te brengen dat UBEL ofwel een tak van het oorspronkelijke Oscorp-project was of slechts een rebranding van de eerdere dreiging die werd uitgevoerd door een andere hackergroep. Opgemerkt moet worden dat de exploitanten van UBEL in de problemen kwamen met hun cybercriminele klanten. Er begonnen klachten op te duiken dat de malwaretool niet kon werken op bepaalde Android-apparaten, ondanks de beweringen in de promotie.

Dreigende mogelijkheden

De dreiging beschikt over een groot aantal functionaliteiten waarmee de dreigingsactor bijna volledige controle over de gecompromitteerde Android-apparaten kan krijgen. Het hoofddoel lijkt nog steeds het verzamelen van geld en het verkrijgen van bankgegevens van de slachtoffers. De dreiging kan meerdere wegen aanvallen, waaronder crypto- en bankapplicaties. Onderzoekers ontdekten dat de malware in staat is om overlay-aanvallen uit te voeren op meer dan 150 applicaties. Bovendien kan de dreiging verschillende keylogging-routines opzetten, achterdeurtoegang tot stand brengen via het WebRTC-protocol en sms-berichten en telefoontjes manipuleren (onderscheppen, lezen, verzenden, verwijderen). In sommige gevallen gebruikten de aanvallers nepbankiers die het slachtoffer telefonisch belden, terwijl de malware op de achtergrond geld aan het incasseren was via ongeautoriseerde bankoverschrijvingen.

Gebruikte technieken

Om zijn schadelijke doelen te vergemakkelijken, vertrouwt UBEL op verschillende bekende technieken. Een daarvan betreft het misbruiken van de toegankelijkheidsservices van het apparaat. Toegankelijkheidsservices zijn ontworpen om mensen met een handicap mobiele apparaten comfortabeler te laten gebruiken en zijn een veelvoorkomend doelwit geworden voor mobiele malwarebedreigingen. Door er toegang toe te krijgen, kunnen de bedreigingen doorgaan met het simuleren van klikken op knoppen of schermgebaren. Met dezelfde machtigingen kan de malware ook geselecteerde informatie van het geïnfecteerde apparaat observeren en oogsten. Een andere methode stelt UBEL in staat om zogenaamde Overlay-aanvallen uit te voeren. Meestal is dit het kerngedrag van banktrojans. Deze dreiging toont de gebruiker een valse aanmeldings- of inlogpagina, bovenop de legitieme die door de gerichte applicatie via WebView wordt gegenereerd.