UBEL Android Malware

UBEL Android kötü amaçlı yazılımının, yeraltı bilgisayar korsanlığı forumlarında yeni bir Android tehdidi olarak sunulduğu gözlemlendi. Ancak, altında yatan kodun analizi farklı bir tablo ortaya çıkardı. Bu olarak bilinen, daha önce tespit edilen Android tehdidi ile bu Übel paylaşırsa önemli benzerlikler çıkıyor Oscorp. Aslında, ikisi arasındaki bağlantılar, araştırmacıları UBEL'in ya orijinal Oscorp projesinin bir dalı olduğu ya da farklı bir hacker grubu tarafından gerçekleştirilen daha önceki tehdidin yeniden adlandırılması olduğu sonucuna varmaya yetecek kadar yeterli. UBEL operatörlerinin siber suçlu müşterileriyle bazı sorunlar yaşadığına dikkat edilmelidir. Kötü amaçlı yazılım aracının tanıtımında öne sürülen iddialara rağmen belirli Android cihazlarda çalışamadığına dair şikayetler artmaya başladı.

Tehdit Edici Yetenekler

Tehdit, tehdit aktörünün güvenliği ihlal edilmiş Android cihazlar üzerinde neredeyse tam kontrol elde etmesine olanak tanıyan geniş bir işlevler grubuna sahiptir. Asıl amaç hala fon toplamak ve kurbanlardan bankacılık kimlik bilgileri almak gibi görünüyor. Tehdit, kripto ve bankacılık uygulaması dahil olmak üzere birden fazla yola saldırabilir. Araştırmacılar, kötü amaçlı yazılımın 150'den fazla uygulamaya üst üste bindirme saldırıları gerçekleştirebildiğini keşfetti. Bunun da ötesinde, tehdit çeşitli keylogging rutinleri oluşturabilir, WebRTC protokolü aracılığıyla arka kapı erişimi kurabilir ve SMS ve telefon aramalarını manipüle edebilir (kesme, okuma, gönderme, silme). Bazı durumlarda, saldırganlar kurbanı telefonla arayan sahte banka operatörleri kullanırken, arka planda kötü amaçlı yazılım yetkisiz banka transferleri yoluyla para topluyordu.

Kullanılan Teknikler

UBEL, zararlı hedeflerini kolaylaştırmak için birkaç iyi bilinen tekniğe güvenir. Bunlardan biri, cihazın Erişilebilirlik Hizmetlerini kötüye kullanmayı içerir. Engelli kişilerin mobil cihazları daha rahat kullanmalarını sağlamak için tasarlanan Erişilebilirlik Hizmetleri, mobil kötü amaçlı yazılım tehditleri için ortak bir hedef haline geldi. Onlara erişim sağlayarak, tehditler düğme tıklamalarını veya ekran hareketlerini simüle etmeye devam edebilir. Aynı izinler, kötü amaçlı yazılımın, virüslü cihazdan seçilen bilgileri gözlemlemesine ve toplamasına da izin verebilir. Başka bir yöntem, UBEL'in Overlay saldırılarını gerçekleştirmesine izin verir. Genellikle bu, bankacılık Truva atlarının temel davranışıdır. Bu tehdit, kullanıcıya, WebView aracılığıyla hedeflenen uygulama tarafından oluşturulan meşru sayfanın üstünde sahte bir kayıt veya giriş sayfası gösterir.