UBEL Android Malware

Observou-se que o malware UBEL Android é oferecido em fóruns de hackers clandestinos como uma nova ameaça do Android. No entanto, a análise de seu código subjacente revelou uma imagem diferente. Acontece que o UBEL compartilha semelhanças significativas com uma ameaça Android previamente detectada, conhecida como Oscorp. Na verdade, as ligações entre os dois são suficientes para levar os pesquisadores à conclusão de que o UBEL era um ramo do projeto original da Oscorp ou apenas uma mudança de marca da ameaça anterior realizada por um grupo diferente de hackers. Deve-se notar que os operadores do UBEL tiveram alguns problemas com seus clientes cibercriminosos. Começaram a surgir reclamações de que a ferramenta de malware não era capaz de operar em certos dispositivos Android, apesar das alegações feitas em sua promoção.

Capacidades Ameaçadoras

A ameaça possui um grande conjunto de funcionalidades que permitem ao agente da ameaça obter controle quase total sobre os dispositivos Android comprometidos. O principal objetivo parece ainda ser arrecadar fundos e obter credenciais bancárias das vítimas. A ameaça é capaz de atacar várias vias, incluindo criptografia e aplicativos bancários. Os pesquisadores descobriram que o malware é capaz de realizar ataques de sobreposição em mais de 150 aplicativos. Além disso, a ameaça pode configurar várias rotinas de keylogging, estabelecer acesso backdoor por meio do protocolo WebRTC e manipular (interceptar, ler, enviar, excluir) SMS e chamadas telefônicas. Em alguns casos, os invasores empregaram falsos operadores de banco que ligaram para a vítima, enquanto em segundo plano o malware estava coletando fundos por meio de transferências bancárias não autorizadas.

As Técnicas Empregadas

Para facilitar os seus objetivos prejudiciais, o UBEL conta com várias técnicas bem conhecidas. Um deles envolve o abuso dos Serviços de Acessibilidade do dispositivo. Projetados para permitir que pessoas com deficiência usem dispositivos móveis com mais conforto, os Serviços de Acessibilidade se tornaram um alvo comum para ameaças de malware móvel. Ao obter acesso a eles, as ameaças podem continuar simulando cliques em botões ou gestos na tela. As mesmas permissões também podem permitir que o malware observe e colete informações selecionadas do dispositivo infectado. Outro método permite que o UBEL execute os chamados ataques de sobreposição. Normalmente, esse é o comportamento central dos cavalos de Tróia bancários. Essa ameaça mostra ao usuário uma página de inscrição ou login falsa, além da legítima gerada pelo aplicativo visado via WebView.