安卓恶意软件针对意大利用户进行恶意攻击。最近,来自安全公司AddressIntel的研究人员发现了一种名为Oscorp的新型Android恶意软件,该恶意软件以其命令和控制服务器登录页面的标题命名。与其他Android恶意软件一样,Oscorp恶意软件试图诱骗用户授予恶意软件访问Android设备辅助功能服务的权限。这意味着攻击者将能够使用Oscorp阅读目标Android设备屏幕上的短信、确认应用程序的安装提示、滚动权限列表并冒充用户单击屏幕上的安装确认按钮。意大利CERT的研究人员在他们的安全报告中提到:“由于无法访问其他应用程序的私有文件,这些恶意应用程序的行为被‘限制’以实现凭证窃取、锁屏(设备)以及捕获和记录音频和视频信息”就在几天前,安全研究专家还发现了一个地址为“supportoapp[.]Com”的域,该域主要负责托管该恶意软件的“Clientassistance.apk”文件。当APK文件成功安装到目标设备上后,会显示一个名为“客户保护”的应用程序,要求用户启用Android设备的无障碍服务。该恶意软件使用Geny2服务诱导用户启用无障碍服务,一旦激活,一些额外的权限会自动启用。恶意软件Oscorp的代码每八秒重新打开一次设置界面,并强制用户授予恶意软件请求的访问权限和设备使用统计信息。启用辅助功能服务后,恶意软件将能够:启用键盘记录;自动获取恶意软件所需的权限和功能;卸载应用程序;拨打电话;发送短信;窃取密码;窃取谷歌的双因素PIN码;在研究人员分析这个恶意软件样本时,恶意软件使用的钱包里只剩下584美元。CERT的报告提供了有关恶意软件Oscorp实施的技术细节,例如用于收集设备信息的PJService等服务的描述等。当恶意软件与远程C2服务器通信时,它使用HTTPPOST请求。当用户打开Oscorp瞄准的其中一个应用程序时,恶意代码会显示一个钓鱼网页并要求用户提供用户名和密码。事实上,每个应用程序所显示的虚假界面风格各不相同,其核心目的是诱导目标用户提供个人信息和凭证数据。CERT-AGID报告总结道:“在用户启用无障碍服务之前,Android系统的保护机制会阻止恶意软件对目标设备或目标用户造成任何形式的损害。但是,一旦启用无障碍服务,后果将是严重。”难以置信。事实上,Android一直对应用程序开发人员有非常宽松的政策,最终决定是否信任应用程序的是最终用户。”
