Ένα νέο Android malware γνωστό ως MasterFred χρησιμοποιεί ψεύτικα login overlays για να κλέψει τις πληροφορίες πιστωτικών καρτών των χρηστών του Netflix, του Instagram και του Twitter.
Αυτό το νέο Android banking trojan στοχεύει και πελάτες τραπεζών με προσαρμοσμένα ψεύτικα login overlays σε πολλές γλώσσες.
Ένα δείγμα MasterFred υποβλήθηκε για πρώτη φορά στην VirusTotal τον Ιούνιο του 2021. Ο αναλυτής malware Alberto Segura πριν από μια εβδομάδα κοινοποίησε στο διαδίκτυο ένα δεύτερο δείγμα, επισημαίνοντας ότι χρησιμοποιήθηκε εναντίον χρηστών Android από την Πολωνία και την Turkey.
See also: Microsoft has just extended its malware protection for Linux servers
Αφού ανέλυσαν το νέο malware, οι ερευνητές της Avast Threat Labs ανακάλυψαν API που παρέχονται από την ενσωματωμένη υπηρεσία Android Accessibility για την εμφάνιση των κακόβουλων overlays.
Η κακόβουλη χρήση της υπηρεσίας Accessibility δεν είναι κάτι καινούργιο, καθώς οι δημιουργοί malware τη χρησιμοποιούν για να προσομοιώνουν taps και να περιηγούνται στο Android UI για να εγκαταστήσουν τα payloads τους, να κάνουν λήψη και εγκατάσταση άλλου κακόβουλου λογισμικού και να εκτελούν διάφορες λειτουργίες στο παρασκήνιο.
See also: TrickBot malware: its dev faces 60-year prison sentence
Ωστόσο, ορισμένα πράγματα κάνουν το MasterFred να ξεχωρίζει. Ένα από αυτά είναι ότι οι κακόβουλες εφαρμογές που χρησιμοποιούνται για την παράδοση του malware σε συσκευές Android ομαδοποιούν και τα HTML overlays που χρησιμοποιούνται για την εμφάνιση των ψεύτικων φορμών σύνδεσης και τη συλλογή των οικονομικών πληροφοριών των θυμάτων.
Το malware χρησιμοποιεί και τη dark web gateway Onion.ws (γνωστή και ως Tor2Web proxy) για να παραδώσει τις κλεμμένες πληροφορίες σε network servers Tor υπό τον έλεγχο του χειριστή του.
See also: Squid Game app με χιλιάδες λήψεις μόλυνε συσκευές με το Joker malware
Δεδομένου ότι τουλάχιστον μία από τις κακόβουλες εφαρμογές που συνδυάζουν τον MasterFred banker ήταν πρόσφατα διαθέσιμη στο Play Store της Google, μπορούμε να πούμε με ασφάλεια ότι οι χειριστές του MasterFred είναι πιθανό να χρησιμοποιούν και καταστήματα τρίτων ως κανάλι παράδοσης για αυτό το νέο malware.
Τα Indicators of compromise (IOCs), συμπεριλαμβανομένων των δειγμάτων hashes MasterFred και των command-and-control server domains, βρίσκονται στο thread της Avast Threat Labs στο Twitter.
Source of information: bleepingcomputer.com
