UBEL Android-Malware
Es wurde beobachtet, dass die UBEL Android-Malware in unterirdischen Hacking-Foren als neue Android-Bedrohung angeboten wird. Die Analyse des zugrunde liegenden Codes ergab jedoch ein anderes Bild. Es stellt sich heraus, dass UBEL erhebliche Ähnlichkeiten mit einer zuvor entdeckten Android-Bedrohung namens Oscorp aufweist. Tatsächlich reichen die Verbindungen zwischen den beiden aus, um die Forscher zu dem Schluss zu führen, dass UBEL entweder ein Zweig des ursprünglichen Oscorp-Projekts war oder nur eine Umbenennung der früheren Bedrohung durch eine andere Hackergruppe. Es sei darauf hingewiesen, dass die Betreiber von UBEL einige Probleme mit ihren cyberkriminellen Kunden hatten. Es gab Beschwerden, dass das Malware-Tool trotz der in seiner Werbung gemachten Behauptungen auf bestimmten Android-Geräten nicht funktionieren konnte.
Bedrohungspotenziale
Die Bedrohung verfügt über eine Vielzahl von Funktionen, die es dem Bedrohungsakteur ermöglichen, nahezu vollständige Kontrolle über die kompromittierten Android-Geräte zu erlangen. Das Hauptziel scheint immer noch darin zu bestehen, Gelder zu sammeln und Bankdaten von den Opfern zu erhalten. Die Bedrohung kann mehrere Wege angreifen, einschließlich Krypto- und Bankanwendungen. Forscher fanden heraus, dass die Malware in der Lage ist, Overlay-Angriffe auf mehr als 150 Anwendungen durchzuführen. Darüber hinaus kann die Bedrohung verschiedene Keylogging-Routinen einrichten, Backdoor-Zugriffe über das WebRTC-Protokoll einrichten und SMS und Telefonanrufe manipulieren (abfangen, lesen, senden, löschen). In einigen Fällen setzten die Angreifer gefälschte Bankbetreiber ein, die das Opfer telefonisch anriefen, während die Malware im Hintergrund Gelder über nicht autorisierte Banküberweisungen sammelte.
Angewandte Techniken
Um seine schädlichen Ziele zu erreichen, stützt sich UBEL auf mehrere bekannte Techniken. Einer davon beinhaltet den Missbrauch der Barrierefreiheitsdienste des Geräts. Accessibility Services wurden entwickelt, um Menschen mit Behinderungen die komfortablere Nutzung mobiler Geräte zu ermöglichen, und sind zu einem häufigen Ziel für mobile Malware-Bedrohungen geworden. Durch den Zugriff darauf können die Bedrohungen Schaltflächenklicks oder Bildschirmgesten simulieren. Dieselben Berechtigungen können es der Malware auch ermöglichen, ausgewählte Informationen von dem infizierten Gerät zu beobachten und zu sammeln. Eine andere Methode ermöglicht es UBEL, sogenannte Overlay-Angriffe durchzuführen. Dies ist in der Regel das Kernverhalten von Banking-Trojanern. Diese Bedrohung zeigt dem Benutzer eine gefälschte Anmelde- oder Anmeldeseite, zusätzlich zu der legitimen, die von der Zielanwendung über WebView generiert wird.
