Oscorp Malware

Oscorp Malware-Beschreibung

Eine neue Android-Malware namens Oscop wurde von der italienischen Sicherheitsfirma AddressIntel entdeckt. Die Bedrohung beruht darauf, dass Benutzer ihm Zugriff auf den Android Accessibility Service gewähren, unter dem Vorwand, er sei "persönlicher Schutz". Wenn der Benutzer die Eingabeaufforderung zunächst ablehnt, öffnet der Oscop das Menü "Einstellungen" weiterhin alle 8 Sekunden, bis er die angeforderten Berechtigungen erhält. Wenn die Bedrohung vollständig bereitgestellt ist, kann sie eine Vielzahl von Bedrohungsfunktionen ausführen, darunter das Einrichten einer Keylogging-Routine, das Deinstallieren anderer Anwendungen, das Tätigen von Anrufen und das Senden von SMS, das Sammeln von Kryptowährung und das Sammeln von PINs für Googles 2FA (2-Faktor-Authentifizierung). Der Oscop versucht auch, Benutzeranmeldeinformationen für verschiedene Anwendungen abzurufen, indem für jede Anwendung eine speziell gestaltete Phishing-Seite bereitgestellt wird, auf der nach Benutzernamen und Kennwörtern gefragt wird.

Die Bedrohung wird als Datei mit dem Namen "Client support.apk" verteilt. Den Forschern gelang es auch, die Domain zu finden, die für das Hosting der Bedrohung verantwortlich ist. Es heißt "supportoapp.com". Die Kommunikation mit der Command-and-Control-Infrastruktur (C2, C & C) für die Oscop-Kampagne erfolgt über HTTP-POST-Anforderungen.

Benutzer sollten bei der Installation neuer Anwendungen stets Vorsicht walten lassen, insbesondere wenn es sich bei der Quelle um eine zweifelhafte Plattform von Drittanbietern handelt und nicht um einen der offiziellen Anwendungsspeicher. Selbst für legitime Anwendungen lohnt es sich, auf die unterschiedlichen Berechtigungen zu achten, die sie erhalten möchten, da viele eine erhebliche Überreichweite aufweisen und nach Zugriff auf Funktionen fragen, die nicht direkt mit ihrer Kernfunktionalität zusammenhängen.