根據(jù)媒體的最新報道，意大利CERT的研究人員警告稱，近期出現(xiàn)的新型Android惡意軟件Oscorp正在利用手機的輔助服務(Accessibility Service)來進行惡意攻擊。

近期，來自安全公司AddressIntel的研究人員發(fā)現(xiàn)了一個名為Oscorp的新型Android惡意軟件，而Oscorp這個名字來源于其命令和控制服務器登錄頁面的標題。

[[379914]]

跟其他的Android惡意軟件一樣，Oscorp惡意軟件會想辦法欺騙用戶授予惡意軟件訪問Android設備輔助功能服務的權限。這也就意味著，攻擊者將能夠通過Oscorp來讀取目標Android設備屏幕上的文本信息，確認應用程序彈出的安裝提示，滾動權限列表并冒充用戶點擊屏幕上的安裝確認按鈕。

來自意大利CERT的研究人員在其發(fā)布的安全報告中提到：“由于無法訪問其他應用程序的私有文件，這些惡意應用程序的行為“僅限于”通過網(wǎng)絡釣魚頁面來實現(xiàn)憑證竊取、鎖定屏幕(設備)以及捕捉和記錄音頻和視頻信息等惡意行為。”

就在幾天之前，安全研究專家還發(fā)現(xiàn)了一個地址為“supportoapp [.] Com”的域名，這個域名主要負責托管惡意軟件的“Client assistance.apk”文件。

當這個APK文件在目標設備上安裝成功之后，將會顯示一個名為“Customer Protection”的應用程序，它會要求用戶啟用Android設備的輔助功能服務。

這款惡意軟件會使用Geny2服務來誘導用戶啟用輔助功能服務，一旦激活該服務，就會自動啟用一些其他的權限。

惡意軟件Oscorp的代碼每八秒便會重新打開一次設置界面，并強制用戶授予惡意軟件所請求的訪問權限以及設備使用統(tǒng)計信息。

• 啟用輔助功能服務之后，惡意軟件將能夠實現(xiàn)下列操作：
• 啟用鍵盤記錄功能;
• 自動獲取惡意軟件所需的權限和功能;
• 卸載應用程序;
• 撥打電話;
• 發(fā)送短信;
• 竊取加密貨幣;
• 竊取Google的雙因素PIN碼;

在研究人員對這款惡意軟件樣本進行分析時，惡意軟件所使用的錢包里面只剩了584美元。

CERT的報告提供了有關惡意軟件Oscorp所實現(xiàn)的技術細節(jié)，比如對服務的描述，例如用于在設備上收集信息的PJService等等。而惡意軟件在跟遠程C2服務器進行通信時，使用的是HTTP POST請求。

當用戶打開Oscorp針對的某個應用程序時，惡意代碼將顯示一個仿冒網(wǎng)頁，并要求用戶提供自己的用戶名和密碼。

其實，每個應用程序所顯示的偽造界面樣式都是不一樣的，其核心目的就是為了誘導目標用戶提供自己的個人信息以及憑證數(shù)據(jù)。

CERT-AGID的報告總結道：“在用戶啟用輔助功能服務之前，Android系統(tǒng)的保護機制可以防止惡意軟件對目標設備或目標用戶造成任何形式的損害。但是，一旦啟用了輔助功能服務，那么后果將不堪設想。實際上，Android對應用程序開發(fā)者一直有著非常寬松的政策，最終決定是否信任某個應用程序的是終端用戶。”