UBEL Android Malware

Se observó que el malware UBEL para Android se ofrecía en foros de piratería clandestinos como una nueva amenaza de Android. Sin embargo, el análisis de su código subyacente reveló una imagen diferente. Resulta que UBEL comparte similitudes significativas con una amenaza de Android previamente detectada conocida como Oscorp. De hecho, los vínculos entre los dos son suficientes para llevar a los investigadores a la conclusión de que UBEL era una rama del proyecto Oscorp original o simplemente un cambio de marca de la amenaza anterior realizada por un grupo de piratas informáticos diferente. Cabe señalar que los operadores de UBEL tuvieron algunos problemas con sus clientes ciberdelincuentes. Comenzaron a surgir quejas de que la herramienta de malware no podía operar en ciertos dispositivos Android, a pesar de las afirmaciones hechas en su promoción.

Capacidades amenazantes

La amenaza posee un gran conjunto de funcionalidades que permiten al actor de la amenaza lograr un control casi total sobre los dispositivos Android comprometidos. El objetivo principal parece seguir siendo recaudar fondos y obtener credenciales bancarias de las víctimas. La amenaza es capaz de atacar múltiples vías, incluidas las aplicaciones bancarias y criptográficas. Los investigadores descubrieron que el malware es capaz de realizar ataques de superposición en más de 150 aplicaciones. Además de eso, la amenaza puede configurar varias rutinas de registro de teclas, establecer un acceso de puerta trasera a través del protocolo WebRTC y manipular (interceptar, leer, enviar, eliminar) SMS y llamadas telefónicas. En algunos casos, los atacantes emplearon operadores bancarios falsos que llamaron a la víctima por teléfono, mientras que en el fondo el malware recolectaba fondos a través de transferencias bancarias no autorizadas.

Técnicas empleadas

Para facilitar sus objetivos dañinos, UBEL se basa en varias técnicas conocidas. Uno de ellos implica abusar de los Servicios de accesibilidad del dispositivo. Diseñados para permitir que las personas con discapacidades utilicen dispositivos móviles con mayor comodidad, los Servicios de accesibilidad se han convertido en un objetivo común de las amenazas de malware móvil. Al obtener acceso a ellos, las amenazas pueden proceder a simular clics en botones o gestos en la pantalla. Los mismos permisos también pueden permitir que el malware observe y recopile información seleccionada del dispositivo infectado. Otro método permite a UBEL realizar los llamados ataques de superposición. Por lo general, este es el comportamiento principal de los troyanos bancarios. Esta amenaza le muestra al usuario una página de inicio de sesión o registro falsa, además de la legítima generada por la aplicación de destino a través de WebView.