UBEL是新的运营商，Android认证窃取恶意软件在野外活动

An Android malware that was observed abusing accessibility services in the device to hijack user credentials from European banking applications has morphed into an entirely new botnet as part of a renewed campaign that began in May 2021.

意大利CERT-AGID在1月底披露了Oscorp的详细信息。Oscorp是一种移动恶意软件，旨在攻击多个金融目标，目的是从毫无戒备的受害者那里窃取资金。它的功能包括拦截短信和打电话的能力，以及通过使用相似的登录屏幕虹吸有价值的数据，对150多个移动应用程序进行覆盖攻击。

该恶意软件是通过恶意短信传播的，攻击通常是通过假装银行运营商实时进行的，通过电话欺骗目标，并通过WebRTC协议秘密访问受感染的设备，最终进行未经授权的银行转账。尽管自那以后没有新的活动报告，但似乎Oscorp可能在暂时中断后以称为UBEL的Android僵尸网络的形式再次推出。

意大利网络安全公司Cleafy周二表示：“通过分析一些相关样本，我们发现多个指标将Oscorp和UBEL与同一个恶意代码库联系在一起，这表明它是同一个原始项目的分支，或者只是由其他附属公司重新命名，因为它的源代码似乎在多个[威胁参与者]之间共享。”，绘制恶意软件的演变图。

UBEL以980美元的价格在地下论坛上发布广告，与它的前身一样，要求获得侵入性权限，允许它阅读和发送短信、录制音频、安装和删除应用程序，并在系统启动后自动启动，滥用Android上的易访问性服务，从设备上收集敏感信息，如登录凭证和双因素身份验证码，其结果会被过滤回远程服务器。

一旦下载到设备上，恶意软件就会试图将自身安装为服务，并向目标隐藏其存在，从而实现长时间的持久性。

有趣的是，使用WebRTC与受损的安卓手机实时交互，可以避免注册新设备和接管账户进行欺诈活动的需要。

研究人员说：“通过使用该功能，这个（威胁参与者）的主要目标是避免‘新设备注册’，从而大幅降低被标记为‘可疑’的可能性，因为从银行的角度来看，设备的指纹识别指标是众所周知的。”。

报告称，Oscorp针对的银行和其他应用的地理分布包括西班牙、波兰、德国、土耳其、美国、意大利、日本、澳大利亚、法国和印度等。