Ένας νέος trojan απομακρυσμένης πρόσβασης Android που ανακαλύφθηκε, γνωστός ως Oblivion RAT, εμφανίστηκε στα δίκτυα εγκλήματος στον κυβερνοχώρο ως μια πλήρης πλατφόρμα κακόβουλου λογισμικού ως υπηρεσία (MaaS), μετατρέποντας τις ψεύτικες σελίδες ενημέρωσης του Google Play Store σε λειτουργία spyware πλήρους κλίμακας.
Αναφέρθηκε για πρώτη φορά από το Certo Software, η απειλή έχει τραβήξει την προσοχή λόγω του πόσο εκλεπτυσμένη και έτοιμη για ανάπτυξη είναι η λειτουργία, που καλύπτει τα πάντα, από την παράδοση με σταγονόμετρο έως τον έλεγχο της συσκευής σε πραγματικό χρόνο.
Το Oblivion RAT πωλείται σε υπόγεια φόρουμ στα 300 $ το μήνα, με μεγαλύτερες βαθμίδες να φτάνουν τα 2.200 $ για άδεια ζωής.
Το πακέτο περιλαμβάνει ένα πρόγραμμα δημιουργίας APK που βασίζεται στον ιστό για το εμφύτευμα, ένα ξεχωριστό εργαλείο δημιουργίας σταγονόμετρου που δημιουργεί ψεύτικες σελίδες ενημέρωσης του Google Play και πίνακας εντολών και ελέγχου (C2) για ζωντανή διαχείριση συσκευών.
Οι επιτιθέμενοι διανέμουν το σταγονόμετρο μέσω εφαρμογών ανταλλαγής μηνυμάτων και πλατφορμών γνωριμιών, ξεγελώντας τα θύματα ώστε να πιστέψουν ότι εγκαθιστούν μια νόμιμη ενημέρωση του Google Play.
Οι αναλυτές του iVerify εντόπισαν το κακόβουλο λογισμικό και αναμόρφωσε την πλήρη αλυσίδα μόλυνσης του αφού έλαβε δείγματα τόσο του σταγονόμετρου όσο και του εμφυτεύματος RAT, αποκτώντας πρόσβαση στο builder και στο πάνελ C2.
Οι ερευνητές παρατήρησαν ότι η πλατφόρμα είναι καλά δομημένη, με ενσωματωμένες προεπιλογές γλώσσας που υποστηρίζουν αγγλικά και ρωσικά, επιβεβαιώνοντας ότι η επιχείρηση στοχεύει θύματα σε πολλές περιοχές.
Το σταγονόμετρο είναι προεπιλεγμένο στο μοτίβο πακέτου com.darkpurecore*με com.oblivion.dropper.MainActivity ως δραστηριότητα εκτοξευτή σε όλα τα παρατηρούμενα δείγματα.
Η μόλυνση ακολουθεί ένα μοντέλο δύο σταδίων. Το σταγονόμετρο APK φέρει ένα συμπιεσμένο εμφύτευμα RAT (payload.apk.xz) και τρεις αυτόνομες σελίδες HTML που προσομοιώνουν μια πραγματική ροή ενημέρωσης του Google Play.
.webp.jpeg)
Η πρώτη σελίδα εμφανίζει μια γραμμή προόδου και μια ψεύτικη σάρωση ασφαλείας που εμφανίζει μηνύματα όπως “Χωρίς κακόβουλο κώδικα” και “Επαληθευμένος προγραμματιστής”.
Η δεύτερη σελίδα παρουσιάζει μια ψεύτικη καταχώριση στο Play Store με το όνομα προγραμματιστή “LLC Google”, με βαθμολογία 4,5 αστεριών και ένα κουμπί ΕΝΗΜΕΡΩΣΗ που ενεργοποιεί τη διαδικασία πλευρικής φόρτωσης.
.webp.jpeg)
Η τρίτη σελίδα καθοδηγεί το θύμα μέσω της ενεργοποίησης της εγκατάστασης εφαρμογής από άγνωστες πηγές, πλαισιώνοντάς την ως ένα συνηθισμένο βήμα ασφαλείας.
Μόλις το θύμα ακολουθήσει αυτά τα βήματα, το εμφύτευμα δεύτερου σταδίου καταλαμβάνει αθόρυβα τη συσκευή και εκτελείται στο παρασκήνιο χωρίς ορατή διεπαφή.
Ο αντίκτυπος είναι σοβαρός — ο εισβολέας αποκτά σχεδόν απόλυτο έλεγχο παραβιασμένη συσκευή, με πρόσβαση σε μηνύματα SMS, πληκτρολογήσεις, οικονομικά δεδομένα εφαρμογών και συνεδρίες ζωντανής οθόνης.
AccessibilityService Hijacking
Το πιο επικίνδυνο μέρος της επίθεσης του Oblivion είναι ο τρόπος κατάχρησης της AccessibilityService του Android για να καταλάβει σιωπηλά τον πλήρη έλεγχο της συσκευής.
Αφού εγκατασταθεί το εμφύτευμα δεύτερου σταδίου, το κακόβουλο λογισμικό ζητά πρόσβαση στο AccessibilityService μέσω ενός τέλειου αντιγράφου pixel της οθόνης ρυθμίσεων Προσβασιμότητας του Android.
.webp.jpeg)
Κάθε στοιχείο σε αυτήν την οθόνη — ο τίτλος, οι κεφαλίδες ενότητας και το κουμπί Ενεργοποίηση — ελέγχεται από τον χειριστή μέσω του APK Builder.
Μόλις το θύμα πατήσει Ενεργοποίηση, το εμφύτευμα καταλαμβάνει εξ ολοκλήρου τη διεπαφή της συσκευής. Περιηγείται στις Ρυθμίσεις του Android για να εκχωρεί αυτόματα στον εαυτό του κάθε επικίνδυνη άδεια, συμπεριλαμβανομένων Δικαιώματα πρόσβασης SMS, αποθήκευσης, ακρόασης ειδοποιήσεων και διαχειριστή συσκευής, χωρίς να εμφανίζεται στο θύμα ούτε μία προτροπή.
Κάλεσε μια εναλλαγή backend hide_permission_process το καθιστά εντελώς αόρατο παρεμποδίζοντας και αποκλείοντας αυτόματα τα παράθυρα διαλόγου του συστήματος πριν εμφανιστούν στην οθόνη.
Με πλήρη έλεγχο, ο χειριστής μπορεί να ανοίξει συνεδρίες VNC σε πραγματικό χρόνο με πλήρη εισαγωγή αφής, να καταγράψει κάθε πάτημα πλήκτρων με ετικέτα εφαρμογής και χρονικής σήμανσης και να υποκλέψει όλα τα μηνύματα SMS — συμπεριλαμβανομένων κωδικών OTP και διακριτικών 2FA — προτού φτάσουν στο θύμα.
.webp.jpeg)
Μια ενσωματωμένη δυνατότητα “Αξιολόγηση πλούτου” ταξινομεί τις εγκατεστημένες εφαρμογές του θύματος σε κατηγορίες όπως Τράπεζες, Crypto και κρατικές υπηρεσίες, δίνοντας στον εισβολέα μια γρήγορη εικόνα των πιο πολύτιμων λογαριασμών που πρέπει να στοχεύσει.
.webp.jpeg)
Οι χρήστες Android θα πρέπει να κάνουν λήψη εφαρμογών μόνο από το επίσημο Google Play Store και να απορρίψουν αμέσως οποιοδήποτε αίτημα για παραχώρηση αδειών προσβασιμότητας σε άγνωστες εφαρμογές.
Οποιαδήποτε προτροπή ζητά να ενεργοποιηθεί η πλευρική φόρτωση εκτός του Play Store θα πρέπει να αντιμετωπίζεται ως κόκκινη σημαία. Οι οργανισμοί θα πρέπει να επιβάλλουν πολιτικές διαχείρισης συσκευών που περιορίζουν τις εγκαταστάσεις από άγνωστες πηγές και να παρακολουθούν ύποπτη δραστηριότητα AccessibilityService.
