Nueva familia de ransomware para Android

Apodado Oscorp, el malware abusa de los servicios de accesibilidad en dispositivos Android para robar credenciales de usuario y contenido multimedia.

El malware recibe su nombre del título de la página de inicio de sesión de su servidor C2. El APK malicioso se propaga a través del dominio — supporttoapp [.] Com — que solicita permiso para habilitar el servicio de accesibilidad e inicia la comunicación con un servidor C2 para acciones adicionales.

Las funcionalidades incluyen

  • Usar la funcionalidad del registrador de teclas para robar contraseñas u otros datos confidenciales escritos por los usuarios.
  • Desinstalar aplicaciones en los dispositivos infectados.
  • Hacer llamadas y enviar mensajes de texto
  • Robar direcciones y credenciales de billeteras de criptomonedas.
  • Robar PIN para la autenticación de dos factores de Google.

Además, el malware obliga al usuario a otorgar privilegios adicionales abriendo la aplicación Configuración cada ocho segundos.

Además, a los usuarios que abren las aplicaciones objetivo del malware se les muestra una página de phishing que solicita su nombre de usuario y contraseña, señaló CERT, agregando que el estilo de esta pantalla varía de una aplicación a otra y que está diseñada con la intención de engañar a la víctima proporcionar la información.

Aunque aún no se ha preparado una lista de aplicaciones atacadas por el malware, Italia CERT sospecha que Oscorp apunta a aplicaciones que tratan con información confidencial. Los usuarios están protegidos de daños hasta que habiliten el servicio de accesibilidad.