根據(jù)媒體的最新報道，意大利CERT的研究人員警告稱，近期出現(xiàn)的新型Android惡意軟件Oscorp正在利用手機(jī)的輔助服務(wù)(Accessibility Service)來進(jìn)行惡意攻擊。

近期，來自安全公司AddressIntel的研究人員發(fā)現(xiàn)了一個名為Oscorp的新型Android惡意軟件，而Oscorp這個名字來源于其命令和控制服務(wù)器登錄頁面的標(biāo)題。

[[379914]]

跟其他的Android惡意軟件一樣，Oscorp惡意軟件會想辦法欺騙用戶授予惡意軟件訪問Android設(shè)備輔助功能服務(wù)的權(quán)限。這也就意味著，攻擊者將能夠通過Oscorp來讀取目標(biāo)Android設(shè)備屏幕上的文本信息，確認(rèn)應(yīng)用程序彈出的安裝提示，滾動權(quán)限列表并冒充用戶點(diǎn)擊屏幕上的安裝確認(rèn)按鈕。

來自意大利CERT的研究人員在其發(fā)布的安全報告中提到：“由于無法訪問其他應(yīng)用程序的私有文件，這些惡意應(yīng)用程序的行為“僅限于”通過網(wǎng)絡(luò)釣魚頁面來實(shí)現(xiàn)憑證竊取、鎖定屏幕(設(shè)備)以及捕捉和記錄音頻和視頻信息等惡意行為。”

就在幾天之前，安全研究專家還發(fā)現(xiàn)了一個地址為“supportoapp [.] Com”的域名，這個域名主要負(fù)責(zé)托管惡意軟件的“Client assistance.apk”文件。

當(dāng)這個APK文件在目標(biāo)設(shè)備上安裝成功之后，將會顯示一個名為“Customer Protection”的應(yīng)用程序，它會要求用戶啟用Android設(shè)備的輔助功能服務(wù)。

這款惡意軟件會使用Geny2服務(wù)來誘導(dǎo)用戶啟用輔助功能服務(wù)，一旦激活該服務(wù)，就會自動啟用一些其他的權(quán)限。

惡意軟件Oscorp的代碼每八秒便會重新打開一次設(shè)置界面，并強(qiáng)制用戶授予惡意軟件所請求的訪問權(quán)限以及設(shè)備使用統(tǒng)計(jì)信息。

• 啟用輔助功能服務(wù)之后，惡意軟件將能夠?qū)崿F(xiàn)下列操作：
• 啟用鍵盤記錄功能;
• 自動獲取惡意軟件所需的權(quán)限和功能;
• 卸載應(yīng)用程序;
• 撥打電話;
• 發(fā)送短信;
• 竊取加密貨幣;
• 竊取Google的雙因素PIN碼;

在研究人員對這款惡意軟件樣本進(jìn)行分析時，惡意軟件所使用的錢包里面只剩了584美元。

CERT的報告提供了有關(guān)惡意軟件Oscorp所實(shí)現(xiàn)的技術(shù)細(xì)節(jié)，比如對服務(wù)的描述，例如用于在設(shè)備上收集信息的PJService等等。而惡意軟件在跟遠(yuǎn)程C2服務(wù)器進(jìn)行通信時，使用的是HTTP POST請求。

當(dāng)用戶打開Oscorp針對的某個應(yīng)用程序時，惡意代碼將顯示一個仿冒網(wǎng)頁，并要求用戶提供自己的用戶名和密碼。

其實(shí)，每個應(yīng)用程序所顯示的偽造界面樣式都是不一樣的，其核心目的就是為了誘導(dǎo)目標(biāo)用戶提供自己的個人信息以及憑證數(shù)據(jù)。

CERT-AGID的報告總結(jié)道：“在用戶啟用輔助功能服務(wù)之前，Android系統(tǒng)的保護(hù)機(jī)制可以防止惡意軟件對目標(biāo)設(shè)備或目標(biāo)用戶造成任何形式的損害。但是，一旦啟用了輔助功能服務(wù)，那么后果將不堪設(shè)想。實(shí)際上，Android對應(yīng)用程序開發(fā)者一直有著非常寬松的政策，最終決定是否信任某個應(yīng)用程序的是終端用戶。”