UBEL Android Malware

Il a été observé que le malware Android UBEL était proposé sur des forums de piratage clandestins en tant que nouvelle menace Android. Cependant, l'analyse de son code sous-jacent a révélé une image différente. Il s'avère qu'UBEL partage des similitudes importantes avec une menace Android précédemment détectée connue sous le nom d' Oscorp. En fait, les liens entre les deux sont suffisants pour amener les chercheurs à conclure qu'UBEL était soit une branche du projet Oscorp d'origine, soit simplement un rebranding de la menace précédente effectuée par un autre groupe de pirates informatiques. Il est à noter que les opérateurs d'UBEL ont rencontré quelques ennuis avec leurs clients cybercriminels. Des plaintes ont commencé à surgir selon lesquelles l'outil malveillant n'était pas en mesure de fonctionner sur certains appareils Android, malgré les affirmations formulées dans sa promotion.

Capacités menaçantes

La menace possède un large éventail de fonctionnalités permettant à l'acteur de la menace d'obtenir un contrôle presque total sur les appareils Android compromis. L'objectif principal semble toujours être de collecter des fonds et d'obtenir des informations bancaires des victimes. La menace est capable d'attaquer plusieurs voies, y compris les applications cryptographiques et bancaires. Les chercheurs ont découvert que le malware est capable d'effectuer des attaques de superposition sur plus de 150 applications. En plus de cela, la menace peut mettre en place diverses routines de keylogging, établir un accès backdoor via le protocole WebRTC et manipuler (intercepter, lire, envoyer, supprimer) des SMS et des appels téléphoniques. Dans certains cas, les attaquants ont employé de faux opérateurs bancaires qui ont appelé la victime par téléphone, tandis qu'en arrière-plan, le logiciel malveillant collectait des fonds via des virements bancaires non autorisés.

Techniques employées

Pour faciliter ses objectifs néfastes, UBEL s'appuie sur plusieurs techniques bien connues. L'un d'eux consiste à abuser des services d'accessibilité de l'appareil. Conçus pour permettre aux personnes handicapées d'utiliser les appareils mobiles plus confortablement, les services d'accessibilité sont devenus une cible courante pour les menaces de logiciels malveillants mobiles. En y accédant, les menaces peuvent simuler des clics sur des boutons ou des gestes à l'écran. Les mêmes autorisations peuvent également permettre au malware d'observer et de récolter des informations sélectionnées à partir de l'appareil infecté. Une autre méthode permet à UBEL d'effectuer des attaques dites Overlay. Il s'agit généralement du comportement de base des chevaux de Troie bancaires. Cette menace montre à l'utilisateur une fausse page d'inscription ou de connexion, en plus de celle légitime générée par l'application ciblée via WebView.