Logiciel malveillant Oscorp

Un nouveau malware Android nommé Oscop a été détecté par la société de sécurité italienne AddressIntel. La menace repose sur les utilisateurs qui lui accordent l'accès au service d'accessibilité Android sous le prétexte qu'il s'agit d'une `` protection personnelle ''. Si, dans un premier temps, l'utilisateur refuse l'invite, l'Oscop continuera à rouvrir le menu Paramètres toutes les 8 secondes jusqu'à ce qu'il reçoive les autorisations demandées. Si elle est entièrement déployée, la menace peut exécuter un large éventail de fonctions menaçantes, y compris l'établissement d'une routine d'enregistrement de frappe, la désinstallation d'autres applications, les appels et l'envoi de SMS, la collecte de crypto-monnaie et la récolte de codes PIN pour le 2FA de Google (authentification à 2 facteurs). L'Oscop tente également d'obtenir les informations d'identification des utilisateurs pour diverses applications en déployant une page de phishing spécialement conçue pour chaque application différente qui demande des noms d'utilisateur et des mots de passe.

La menace est distribuée sous forme de fichier nommé «Client assistance.apk». Les chercheurs ont également réussi à localiser le domaine responsable de l'hébergement de la menace. Il s'appelle «supportoapp.com». La communication avec l'infrastructure Command-and-Control (C2, C&C) pour la campagne Oscop est réalisée via des requêtes HTTP POST.

Les utilisateurs doivent toujours se rappeler de faire preuve de prudence lors de l'installation de nouvelles applications, en particulier si la source est une plate-forme tierce douteuse et non l'un des magasins d'applications officiels. Même pour les applications légitimes, il convient de prêter attention aux différentes autorisations qu'elles exigent, car beaucoup présentent une portée excessive, demandant l'accès à des fonctionnalités non liées directement à leurs fonctionnalités de base.