| Secondo gli analisti del CERT-AgID, Oscorp sta prendendo di mira in particolare gli utenti italiani attraverso una campagna di phishing che induce le vittime a scaricare il file Assistenzaclienti.apk (oppure CustomerProtection.apk) dal dominio supportoapp[.]com.
Eseguendo il file APK viene installata l’app malevola Protezione Cliente che, al primo avvio, oltre a stabilire le comunicazioni con il server C2 di comando e controllo per recuperare ulteriori comandi, richiede all’utente di abilitare il servizio di accessibilità: così facendo, il malware è in grado di attivare il modulo keylogger e accedere ad una serie di permessi alle impostazioni di Android. In questo modo, Oscorp è in grado di “leggere” tutto quello che appare sul display dello smartphone compromesso e tutto ciò che viene digitato dalla vittima. Ecco tutti i permessi, alquanto intrusivi, richiesti dal malware alla vittima:
CALL_PHONE CAMERA DISABLE_KEYGUARD INTERNET READ_PHONE_STATE READ_SMS RECEIVE_MMS RECEIVE_SMS RECORD_AUDIO SEND_SMS SYSTEM_ALERT_WINDOW WRITE_EXTERNAL_STORAGE WRITE_SMS INJECT_EVENTS PACKAGE_USAGE_STATS READ_PRIVILEGED_PHONE_STATE ACCESS_NETWORK_STATE ACCESS_SUPERUSER MODIFY_AUDIO_SETTINGS READ_EXTERNAL_STORAGE RECEIVE_BOOT_COMPLETED REQUEST_DELETE_PACKAGES REQUEST_IGNORE_BATTERY_OPTIMIZATIONS REQUEST_INSTALL_PACKAGES WAKE_LOCK
Come se non bastasse, Oscorp è programmato per visualizzare ripetutamente la schermata delle impostazioni ogni otto secondi fino a quando l’utente non attiva i permessi per l’accessibilità e le statistiche di utilizzo del dispositivo, mettendolo sotto pressione al fine di indurlo a concedere i privilegi extra all’app.
A conclusione della catena infettiva, il malware Oscorp inizia quindi ad esfiltrare i dati personali della vittima, insieme ad alcune informazioni di sistema tra cui le app installate, il modello di telefono, e l’operatore telefonico.
Per il furto di credenziali Oscorp sfrutta le classiche pagine di phishing che vengono visualizzate nel momento in cui la vittima apre una delle app prese di mira dal malware. Le finte pagine di login si sovrappongono quindi all’interfaccia principale dell’app proprio con l’intento di ingannare la vittima a fornire le informazioni.
Al momento non è stato ancora possibile stilare una lista di applicazioni lecite prese di mira dal malware Oscorp, ma secondo gli analisti del CERT-AgID potrebbero essere tutte quelle che trattano dati sensibili degli utenti, come quelle per il banking e la messaggistica.
Come prevenire l’infezione del malware Oscorp
Da quanto detto finora è evidente che il malware Oscorp sfrutta le debolezze del fattore umano per diffondersi.
Come fanno notare gli analisti del CERT-AgID, i sistemi di protezioni di Android impediscono al malware di fare qualsiasi tipo di danno almeno fino a quando l’utente non abilita il servizio di accessibilità. Di fatto, quindi, Android lascia la decisione ultima di fidarsi o meno di un’app all’utente finale.
Le cui barriere difensive crollano abbastanza facilmente di fronte a campagne mirate e ben studiate di phishing o di social engineering, come nel caso del malware Oscorp.
Per prevenire la minaccia, dunque, è sempre importante:
scaricare le applicazioni e i file APK delle app solo da store ufficiali e certificati; valutare l’effettiva necessità di attivare il servizio di accessibilità se non strettamente necessario; prestare sempre la massima attenzione ai permessi concessi alle applicazioni: richiedere il permesso di registrare audio o scrivere un SMS, ad esempio, come nel caso del malware Oscorp, dovrebbero immediatamente far scattare un campanello d’allarme e bloccare l’installazione dell’app.
FONTE: cybersecurity360.it
|