UBEL Android Вредоносное ПО

Было замечено, что вредоносное ПО UBEL для Android предлагалось на подпольных хакерских форумах как новая угроза для Android. Однако анализ лежащего в его основе кода показал иную картину. Оказывается, UBEL имеет много общего с ранее обнаруженной угрозой для Android, известной как Oscorp . Фактически, связи между ними достаточно, чтобы привести исследователей к выводу, что UBEL был либо ветвью исходного проекта Oscorp, либо просто ребрендингом более ранней угрозы, выполненной другой хакерской группой. Следует отметить, что операторы UBEL столкнулись с проблемами со своими клиентами-киберпреступниками. Начали появляться жалобы на то, что вредоносный инструмент не может работать на некоторых устройствах Android, несмотря на заявления, сделанные при его продвижении.

Угрожающие возможности

Угроза обладает большим набором функций, позволяющих злоумышленнику получить практически полный контроль над скомпрометированными устройствами Android. Похоже, что основной целью по-прежнему является сбор средств и получение банковских реквизитов от жертв. Угроза способна атаковать несколько способов, включая криптовалюту и банковские приложения. Исследователи обнаружили, что вредоносная программа способна выполнять оверлейные атаки более чем на 150 приложений. Вдобавок к этому угроза может настраивать различные подпрограммы кейлоггеров, устанавливать бэкдор-доступ по протоколу WebRTC и манипулировать (перехватывать, читать, отправлять, удалять) SMS и телефонные звонки. В некоторых случаях злоумышленники использовали поддельных банковских операторов, которые звонили жертве по телефону, в то время как в фоновом режиме вредоносная программа собирала средства с помощью несанкционированных банковских переводов.

Используемые методы

Для достижения своих вредоносных целей UBEL использует несколько хорошо известных методов. Один из них связан со злоупотреблением службами доступности устройства. Службы доступности, разработанные для того, чтобы позволить людям с ограниченными возможностями более комфортно пользоваться мобильными устройствами, стали частой мишенью для угроз мобильных вредоносных программ. Получая к ним доступ, угрозы могут перейти к имитации нажатия кнопок или экранных жестов. Те же разрешения также могут позволить вредоносной программе наблюдать и собирать выбранную информацию с зараженного устройства. Другой метод позволяет UBEL выполнять так называемые оверлейные атаки. Обычно это основное поведение банковских троянцев. Эта угроза показывает пользователю поддельную страницу регистрации или входа в систему поверх законной страницы, созданной целевым приложением через WebView.