Un malware Android qui a été observé en abusant des services d’accessibilité de l’appareil pour détourner les informations d’identification des utilisateurs des applications bancaires européennes s’est transformé en un tout nouveau botnet dans le cadre d’une campagne renouvelée qui a commencé en mai 2021.

Fin janvier, le CERT-AGID italien a divulgué des détails sur Oscorp, un logiciel malveillant mobile développé pour attaquer plusieurs cibles financières dans le but de voler des fonds à des victimes sans méfiance. Ses fonctionnalités incluent la possibilité d’intercepter les messages SMS et de passer des appels téléphoniques et d’effectuer des attaques par superposition pour plus de 150 applications mobiles en utilisant des écrans de connexion similaires pour siphonner des données précieuses.

Le malware a été distribué via des messages SMS malveillants, les attaques étant souvent menées en temps réel en se faisant passer pour des opérateurs bancaires pour duper des cibles par téléphone et accéder subrepticement à l’appareil infecté via le protocole WebRTC et finalement effectuer des virements bancaires non autorisés. Bien qu’aucune nouvelle activité n’ait été signalée depuis lors, il semble qu’Oscorp ait pu organiser un retour après une interruption temporaire sous la forme d’un botnet Android connu sous le nom d’UBEL.

« En analysant certains échantillons connexes, nous avons trouvé plusieurs indicateurs liant Oscorp et UBEL à la même base de code malveillant, suggérant un fork du même projet original ou simplement un changement de marque par d’autres affiliés, car son code source semble être partagé entre plusieurs [threat actors],  » La société italienne de cybersécurité Cliffy mentionné Mardi, retraçant l’évolution du malware.

Annoncé sur des forums souterrains pour 980 $, UBEL, comme son prédécesseur, demande des autorisations intrusives lui permettant de lire et d’envoyer des messages SMS, d’enregistrer du son, d’installer et de supprimer des applications, de se lancer automatiquement après le démarrage du système et d’abuser des services d’accessibilité sur Android pour amasser des informations sensibles de l’appareil telles que les identifiants de connexion et les codes d’authentification à deux facteurs, dont les résultats sont exfiltrés vers un serveur distant.

Une fois téléchargé sur l’appareil, le malware tente de s’installer en tant que service et de masquer sa présence à la cible, obtenant ainsi une persistance pendant de longues périodes.

Fait intéressant, l’utilisation de WebRTC pour interagir avec le téléphone Android compromis en temps réel évite d’avoir à inscrire un nouvel appareil et de prendre en charge un compte pour effectuer des activités frauduleuses.

« L’objectif principal de cette [threat actor] en utilisant cette fonctionnalité, est d’éviter une « nouvelle inscription d’appareil », réduisant ainsi considérablement la possibilité d’être signalé « comme suspect », car les indicateurs d’empreintes digitales de l’appareil sont bien connus du point de vue de la banque », ont déclaré les chercheurs.

La répartition géographique des banques et autres applications ciblées par Oscorp comprend l’Espagne, la Pologne, l’Allemagne, la Turquie, les États-Unis, l’Italie, le Japon, l’Australie, la France et l’Inde, entre autres.