UBEL Android Malware

Zaobserwowano, że złośliwe oprogramowanie UBEL na Androida było oferowane na podziemnych forach hakerskich jako nowe zagrożenie dla Androida. Jednak analiza kodu bazowego ujawniła inny obraz. Okazuje się, że UBEL wykazuje znaczne podobieństwa z wcześniej wykrytym zagrożeniem dla Androida znanym jako Oscorp. W rzeczywistości powiązania między nimi są wystarczające, aby doprowadzić badaczy do wniosku, że UBEL był albo gałęzią oryginalnego projektu Oscorp, albo po prostu rebrandingiem wcześniejszego zagrożenia przeprowadzonego przez inną grupę hakerów. Należy zauważyć, że operatorzy UBEL mieli problemy ze swoimi klientami cyberprzestępcami. Zaczęły pojawiać się skargi, że złośliwe narzędzie nie mogło działać na niektórych urządzeniach z Androidem, pomimo twierdzeń zawartych w jego promocji.

Zdolności grożące

Zagrożenie posiada duży zestaw funkcji pozwalających podmiotowi działającemu na zagrożenie uzyskać niemal pełną kontrolę nad zaatakowanymi urządzeniami z systemem Android. Wydaje się, że głównym celem nadal jest zbieranie funduszy i uzyskiwanie danych uwierzytelniających bank od ofiar. Zagrożenie może atakować wiele dróg, w tym aplikacje kryptograficzne i bankowe. Badacze odkryli, że złośliwe oprogramowanie jest w stanie przeprowadzać ataki typu overlay na ponad 150 aplikacji. Ponadto zagrożenie może konfigurować różne procedury rejestrowania klawiszy, ustanawiać dostęp do backdoora za pośrednictwem protokołu WebRTC oraz manipulować (przechwytywać, odczytywać, wysyłać, usuwać) SMS-y i połączenia telefoniczne. W niektórych przypadkach osoby atakujące wykorzystywały fałszywych operatorów bankowych, którzy dzwonili do ofiary przez telefon, podczas gdy w tle szkodliwe oprogramowanie zbierało środki za pomocą nieautoryzowanych przelewów bankowych.

Stosowane techniki

Aby ułatwić realizację swoich szkodliwych celów, UBEL opiera się na kilku dobrze znanych technikach. Jeden z nich dotyczy nadużywania usług ułatwień dostępu urządzenia. Zaprojektowane, aby umożliwić osobom niepełnosprawnym wygodniejsze korzystanie z urządzeń mobilnych, usługi ułatwień dostępu stały się powszechnym celem mobilnych zagrożeń złośliwym oprogramowaniem. Uzyskując do nich dostęp, zagrożenia mogą przystąpić do symulacji kliknięć przycisków lub gestów na ekranie. Te same uprawnienia mogą również pozwolić złośliwemu oprogramowaniu na obserwowanie i zbieranie wybranych informacji z zainfekowanego urządzenia. Inna metoda pozwala UBEL na wykonywanie tak zwanych ataków Overlay. Zazwyczaj jest to podstawowe zachowanie trojanów bankowych. Zagrożenie to pokazuje użytkownikowi fałszywą stronę rejestracji lub logowania, oprócz legalnej strony generowanej przez docelową aplikację za pośrednictwem WebView.