Software malicioso de Oscorp

La firma de seguridad italiana AddressIntel detectó un nuevo malware de Android llamado Oscop. La amenaza se basa en que los usuarios le otorguen acceso al Servicio de Accesibilidad de Android con el pretexto de que es para 'Protección personal'. Si, al principio, el usuario rechaza el mensaje, el Oscop seguirá abriendo el menú de Configuración cada 8 segundos hasta que reciba los permisos solicitados. Si está completamente implementado, la amenaza puede llevar a cabo una amplia gama de funciones amenazantes, que incluyen establecer una rutina de registro de teclas, desinstalar otras aplicaciones, hacer llamadas y enviar SMS, recolectar criptomonedas y recolectar PIN para Google 2FA (autenticación de 2 factores). El Oscop también intenta obtener credenciales de usuario para varias aplicaciones mediante la implementación de una página de phishing especialmente diseñada para cada aplicación diferente que solicita nombres de usuario y contraseñas.

La amenaza se distribuye como un archivo llamado "Asistencia al cliente.apk". Los investigadores también lograron localizar el dominio responsable de albergar la amenaza. Se llama 'supportoapp.com'. La comunicación con la infraestructura de Comando y Control (C2, C&C) para la campaña de Oscop se logra a través de solicitudes HTTP POST.

Los usuarios deben recordar siempre tener cuidado al instalar nuevas aplicaciones, especialmente si la fuente es una plataforma de terceros dudosa y no una de las tiendas de aplicaciones oficiales. Incluso para las aplicaciones legítimas, vale la pena prestar atención a los diferentes permisos que exigen recibir, ya que muchos exhiben un alcance excesivo al solicitar acceso a funciones que no están relacionadas directamente con su funcionalidad principal.