Apodado Oscorp, el malware abusa de los servicios de accesibilidad en dispositivos Android para robar credenciales de usuario y contenido multimedia.
El malware recibe su nombre del título de la página de inicio de sesión de su servidor C2. El APK malicioso se propaga a través del dominio — supporttoapp [.] Com — que solicita permiso para habilitar el servicio de accesibilidad e inicia la comunicación con un servidor C2 para acciones adicionales.
Las funcionalidades incluyen
- Usar la funcionalidad del registrador de teclas para robar contraseñas u otros datos confidenciales escritos por los usuarios.
- Desinstalar aplicaciones en los dispositivos infectados.
- Hacer llamadas y enviar mensajes de texto
- Robar direcciones y credenciales de billeteras de criptomonedas.
- Robar PIN para la autenticación de dos factores de Google.
Además, el malware obliga al usuario a otorgar privilegios adicionales abriendo la aplicación Configuración cada ocho segundos.
Además, a los usuarios que abren las aplicaciones objetivo del malware se les muestra una página de phishing que solicita su nombre de usuario y contraseña, señaló CERT, agregando que el estilo de esta pantalla varía de una aplicación a otra y que está diseñada con la intención de engañar a la víctima proporcionar la información.
Aunque aún no se ha preparado una lista de aplicaciones atacadas por el malware, Italia CERT sospecha que Oscorp apunta a aplicaciones que tratan con información confidencial. Los usuarios están protegidos de daños hasta que habiliten el servicio de accesibilidad.