Ένα νέο Android malware γνωστό ως MasterFred χρησιμοποιεί ψεύτικα login overlays για να κλέψει τις πληροφορίες πιστωτικών καρτών των χρηστών του Netflix, του Instagram και του Twitter.
Αυτό το νέο Android banking trojan στοχεύει και πελάτες τραπεζών με προσαρμοσμένα ψεύτικα login overlays σε πολλές γλώσσες.
Ένα δείγμα MasterFred υποβλήθηκε για πρώτη φορά στην VirusTotal τον Ιούνιο του 2021. Ο αναλυτής malware Alberto Segura πριν από μια εβδομάδα κοινοποίησε στο διαδίκτυο ένα δεύτερο δείγμα, επισημαίνοντας ότι χρησιμοποιήθηκε εναντίον χρηστών Android από την Πολωνία και την Τουρκία.
Δείτε επίσης: Η Microsoft μόλις επέκτεινε την malware προστασία της για servers Linux
Αφού ανέλυσαν το νέο malware, οι ερευνητές της Avast Threat Labs ανακάλυψαν API που παρέχονται από την ενσωματωμένη υπηρεσία Android Accessibility για την εμφάνιση των κακόβουλων overlays.
Η κακόβουλη χρήση της υπηρεσίας Accessibility δεν είναι κάτι καινούργιο, καθώς οι δημιουργοί malware τη χρησιμοποιούν για να προσομοιώνουν taps και να περιηγούνται στο Android UI για να εγκαταστήσουν τα payloads τους, να κάνουν λήψη και εγκατάσταση άλλου κακόβουλου λογισμικού και να εκτελούν διάφορες λειτουργίες στο παρασκήνιο.
Δείτε επίσης: malware TrickBot: Ο dev του αντιμετωπίζει ποινή φυλάκισης 60 ετών
Ωστόσο, ορισμένα πράγματα κάνουν το MasterFred να ξεχωρίζει. Ένα από αυτά είναι ότι οι κακόβουλες εφαρμογές που χρησιμοποιούνται για την παράδοση του malware σε συσκευές Android ομαδοποιούν και τα HTML overlays που χρησιμοποιούνται για την εμφάνιση των ψεύτικων φορμών σύνδεσης και τη συλλογή των οικονομικών πληροφοριών των θυμάτων.
Το malware χρησιμοποιεί και τη dark web gateway Onion.ws (γνωστή και ως Tor2Web proxy) για να παραδώσει τις κλεμμένες πληροφορίες σε network servers Tor υπό τον έλεγχο του χειριστή του.
Δείτε επίσης: Squid Game app με χιλιάδες λήψεις μόλυνε συσκευές με το Joker malware
Δεδομένου ότι τουλάχιστον μία από τις κακόβουλες εφαρμογές που συνδυάζουν τον MasterFred banker ήταν πρόσφατα διαθέσιμη στο Play Store της Google, μπορούμε να πούμε με ασφάλεια ότι οι χειριστές του MasterFred είναι πιθανό να χρησιμοποιούν και καταστήματα τρίτων ως κανάλι παράδοσης για αυτό το νέο malware.
Τα Indicators of compromise (IOCs), συμπεριλαμβανομένων των δειγμάτων hashes MasterFred και των command-and-control server domains, βρίσκονται στο thread της Avast Threat Labs στο Twitter.
Πηγή πληροφοριών: bleepingcomputer.com
