Ένα νέο Android malware γνωστό ως MasterFred χρησιμοποιεί ψεύτικα login overlays για να κλέψει τις πληροφορίες πιστωτικών καρτών των χρηστών του Netflix, του Instagram και του Twitter.
- Αυτό το νέο Android banking trojan στοχεύει και πελάτες τραπεζών με προσαρμοσμένα ψεύτικα login overlays σε πολλές γλώσσες.
Ένα δείγμα MasterFred υποβλήθηκε για πρώτη φορά στην VirusTotal τον Ιούνιο του 2021. Ο αναλυτής malware Alberto Segura πριν από μια εβδομάδα κοινοποίησε στο διαδίκτυο ένα δεύτερο δείγμα, επισημαίνοντας ότι χρησιμοποιήθηκε εναντίον χρηστών Android από την Πολωνία και την Τουρκία.
Αφού ανέλυσαν το νέο malware, οι ερευνητές της Avast Threat Labs ανακάλυψαν API που παρέχονται από την ενσωματωμένη υπηρεσία Android Accessibility για την εμφάνιση των κακόβουλων overlays.
Η κακόβουλη χρήση της υπηρεσίας Accessibility δεν είναι κάτι καινούργιο, καθώς οι δημιουργοί malware τη χρησιμοποιούν για να προσομοιώνουν taps και να περιηγούνται στο Android UI για να εγκαταστήσουν τα payloads τους, να κάνουν λήψη και εγκατάσταση άλλου κακόβουλου λογισμικού και να εκτελούν διάφορες λειτουργίες στο παρασκήνιο.
It seems there is an undetected Android #Banker affecting Turkey and Poland..
ce0f20f0c1283fd0e29a5b6a4bd2a44c6a1968b0e7553386bf1e7c88ffce5427
7660c207aff4f7855a5f9667d7dbc05d9bc9c57107712337e139e188cecfebb1cc @malwrhunterteam pic.twitter.com/aUm5ibSFYQ
— Alberto Segura (@alberto__segura) November 3, 2021
Ωστόσο, ορισμένα πράγματα κάνουν το MasterFred να ξεχωρίζει. Ένα από αυτά είναι ότι οι κακόβουλες εφαρμογές που χρησιμοποιούνται για την παράδοση του malware σε συσκευές Android ομαδοποιούν και τα HTML overlays που χρησιμοποιούνται για την εμφάνιση των ψεύτικων φορμών σύνδεσης και τη συλλογή των οικονομικών πληροφοριών των θυμάτων.
Το malware χρησιμοποιεί και τη dark web gateway Onion.ws (γνωστή και ως Tor2Web proxy) για να παραδώσει τις κλεμμένες πληροφορίες σε network servers Tor υπό τον έλεγχο του χειριστή του.
Δεδομένου ότι τουλάχιστον μία από τις κακόβουλες εφαρμογές που συνδυάζουν τον MasterFred banker ήταν πρόσφατα διαθέσιμη στο Play Store της Google, μπορούμε να πούμε με ασφάλεια ότι οι χειριστές του MasterFred είναι πιθανό να χρησιμοποιούν και καταστήματα τρίτων ως κανάλι παράδοσης για αυτό το νέο malware.
Τα Indicators of compromise (IOCs), συμπεριλαμβανομένων των δειγμάτων hashes MasterFred και των command-and-control server domains, βρίσκονται στο thread της Avast Threat Labs στο Twitter.
