Новая малварь для Android, MasterFred, использует фишинговые оверлеи, имитирующие вход в систему, для кражи информации о банковских картах пользователей Netflix, Instagram и Twitter.
Первый образец MasterFred был загружен на VirusTotal в июне 2021 года, рассказывает издание Bleeping Computer. Также аналитик вредоносного ПО Альберто Сегура неделю назад поделился вторым образцом вредоноса, сообщив, что тот использовался против пользователей из Польши и Турции.
It seems there is an undetected Android #Banker affecting Turkey and Poland..
— Alberto Segura (@alberto__segura) November 3, 2021
ce0f20f0c1283fd0e29a5b6a4bd2a44c6a1968b0e7553386bf1e7c88ffce5427
7660c207aff4f7855a5f9667d7dbc05d9bc9c57107712337e139e188cecfebb1
cc @malwrhunterteam pic.twitter.com/aUm5ibSFYQ
В настоящее время новую малварь изучили эксперты Avast Threat Labs, обнаружив, что банкер злоупотребляет API-интерфейсами Accessibility service для отображения вредоносных оверлеев и обманом вынуждает жертв вводить данные своих банковских карт.
Хотя злоупотребление Accessibility service – привычное поведение для Android-малвари, у MasterFred есть и ряд отличительных черт. К примеру, вредоносные приложения, используемые для доставки малвари на устройства, включают в себя HTML-оверлеи, используемые для отображения поддельных форм входа и сбора финансовой информации о жертвах.
Кроме того, малварь использует шлюз Onion.ws (также известный как прокси-сервер Tor2Web) для доставки украденной информации на серверы Tor, находящиеся под контролем хакеров.
Поскольку по меньшей мере одно из вредоносных приложений с MasterFred на борту было доступно в Google Play Store (в настоящее время оно уже удалено), исследователи уверены, что банкер распространяется и через сторонние магазины приложений.
Индикаторы компрометации MasterFred, включая хэши и домены управляющих серверов, уже опубликованы в Twitte Avast Threat Labs.