Троян Oscorp использует Android Accessibility для слежки и кражи паролей

Татьяна Никитина 29 Января 2021 - 15:56

Домашние пользователи

Умышленные утечки информации

Кража данных

...

Троян Oscorp использует Android Accessibility для слежки и кражи паролей

Новый Android-зловред пытается заставить жертву включить службы специальных возможностей (Accessibility Service), чтобы получить доступ к информации, отображаемой на экране. Дополнительные привилегии также позволяют ему вести запись при воспроизведении аудио- и видеоматериалов.

Эксперты итальянской Группы быстрого реагирования на киберинциденты (CERT-AGID) присвоили новобранцу кодовое имя Oscorp. Им удалось установить, что вредоносный APK-файл раздается под видом некой защитной программы из домена supportoapp[.]com.

При установке зловред запрашивает разрешения на доступ к службам Accessibility и статистике по использованию приложений. Получая отказ, он повторно открывает меню настроек, и делает это каждые восемь секунд до тех пор, пока не получит искомые привилегии.

Обосновавшись в системе, Oscorp собирает информацию о своем окружении (установленные приложения, модель устройства, оператор мобильной связи и т. п.) и подключается к C2-серверу для получения дополнительных команд.

Анализ показал, что новый троян способен регистрировать ввод с клавиатуры, инициировать телефонные вызовы и отправку SMS, удалять приложения, вести запись аудио и видео с использованием WebRTC, воровать текстовые сообщения, коды 2FA из Google Authenticator и криптовалюту — путем переадресации платежей, совершаемых через приложение Blockchain Wallet. Вредонос также умеет налагать фишинговый экран поверх окон некоторых приложений и перехватывать данные, вводимые в фальшивую форму.

Всю собранную информацию Oscorp отсылает на свой командный сервер.

Согласно VirusTotal, новоявленный зловред пока распознается как троян-дженерик — банкер или шпион.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Татьяна Никитина 11 Февраля 2026 - 16:12

Linux Ботнет Атаки на сайты DDoS-атаки Домашние пользователи Малый и средний бизнес

Linux-ботнет SSHStalker старомоден: C2-коммуникации только по IRC

Специалисты по киберразведке из Flare обнаружили Linux-ботнет, операторы которого отдали предпочтение надежности, а не скрытности. Для наращивания потенциала SSHStalker использует шумные SSH-сканы и 15-летние уязвимости, для C2-связи — IRC.

Новобранец пока просто растет, либо проходит обкатку: боты подключаются к командному серверу и переходят в состояние простоя. Из возможностей монетизации выявлены сбор ключей AWS, сканирование сайтов, криптомайнинг и генерация DDoS-потока.

Первичный доступ к Linux-системам ботоводам обеспечивают автоматизированные SSH-сканы и брутфорс. С этой целью на хосты с открытым портом 22 устанавливается написанный на Go сканер, замаскированный под опенсорсную утилиту Nmap.

В ходе заражения также загружаются GCC для компиляции полезной нагрузки, IRC-боты с вшитыми адресами C2 и два архивных файла, GS и bootbou. Первый обеспечивает оркестрацию, второй — персистентность и непрерывность исполнения (создает cron-задачу на ежеминутный запуск основного процесса бота и перезапускает его в случае завершения).

Чтобы повысить привилегии на скомпрометированном хосте, используются эксплойты ядра, суммарно нацеленные на 16 уязвимостей времен Linux 2.6.x (2009-2010 годы).

Владельцы SSHStalker — предположительно выходцы из Румынии, на это указывает ряд найденных артефактов.

Исследователи также обнаружили файл со свежими результатами SSH-сканов (около 7 тыс. прогонов, все за прошлый месяц). Большинство из них ассоциируются с ресурсами Oracle Cloud в США, Евросоюзе и странах Азиатско-Тихоокеанского региона.