UBEL Android Malware

UBEL-skadlig programvara för Android observerades erbjudas på underjordiska hackforum som ett nytt Android-hot. Analys av dess underliggande kod avslöjade dock en annan bild. Det visar sig att UBEL delar betydande likheter med ett tidigare upptäckt Android-hot som kallas Oscorp. Faktum är att kopplingarna mellan de två är tillräckliga för att leda forskarna till slutsatsen att UBEL antingen var en gren av det ursprungliga Oscorp-projektet eller bara en ommärkning av det tidigare hotet från en annan hackargrupp. Det bör noteras att operatörerna av UBEL stötte på några problem med sina cyberkriminella klienter. Klagomål började dyka upp att malwareverktyget inte kunde fungera på vissa Android-enheter, trots påståendena i kampanjen.

Hotfunktioner

Hotet har en stor uppsättning funktioner som gör det möjligt för hotaktören att uppnå nästan full kontroll över de komprometterade Android-enheterna. Huvudmålet verkar fortfarande vara att samla in pengar och få bankuppgifter från offren. Hotet kan angripa flera vägar inklusive krypto- och bankapplikationer. Forskare upptäckte att skadlig programvara kan utföra överlagringsattacker på mer än 150 applikationer. Utöver det kan hotet skapa olika nyckelloggningsrutiner, etablera bakdörråtkomst via WebRTC-protokoll och manipulera (fånga, läsa, skicka, radera) SMS och telefonsamtal. I vissa fall använde angriparna falska bankoperatörer som ringde offret över telefon, medan skadlig programvara i bakgrunden samlade in medel via obehöriga banköverföringar.

Anställda tekniker

För att underlätta dess skadliga mål förlitar sig UBEL på flera välkända tekniker. En av dem handlar om att missbruka enhetens tillgänglighetstjänster. Designt för att göra det möjligt för personer med funktionsnedsättning att använda mobila enheter bekvämare, har tillgänglighetstjänster blivit ett vanligt mål för mobila skadliga hot. Genom att få tillgång till dem kan hoten fortsätta simulera knappklick eller skärmgester. Samma behörigheter kan också göra det möjligt för skadlig kod att observera och skörda vald information från den infekterade enheten. En annan metod gör det möjligt för UBEL att utföra så kallade Overlay-attacker. Vanligtvis är detta kärnbeteendet hos banktrojaner. Detta hot visar användaren en falsk registrerings- eller inloggningssida, ovanpå den legitima som genereras av den riktade applikationen via WebView.