Новое вредоносное ПО для Android нацелено на пользователей Netflix, Instagram и Twitter

28
Как запускать приложения и игры для Android в Linux

Новое вредоносное ПО для Android, известное как MasterFred, использует поддельные оверлеи для входа в систему для кражи информации о кредитных картах пользователей Netflix, Instagram и Twitter.

Этот новый банковский троян для Android также нацелен на клиентов банков с помощью пользовательских ложных оверлеев для входа на нескольких языках.

Образец MasterFred был впервые отправлен на VirusTotal в июне 2021 года и впервые был обнаружен в июне . Аналитик вредоносного ПО Альберто Сегура неделю назад поделился в сети вторым образцом , указав, что он использовался против пользователей Android из Польши и Турции.

Проанализировав новое вредоносное ПО, исследователи Avast Threat Labs обнаружили API-интерфейсы, предоставляемые встроенной службой специальных возможностей Android для отображения вредоносных оверлеев.

«Используя набор инструментов для обеспечения доступности приложений, установленный на Android по умолчанию, злоумышленник может использовать приложение для реализации атаки Overlay, чтобы обманом заставить пользователя ввести данные кредитной карты для взлома поддельных учетных записей как в Netflix, так и в Twitter», — сказал Аваст .

Злонамеренное использование службы доступности не является чем-то новым, поскольку создатели вредоносных программ использовали ее для имитации касаний и навигации по пользовательскому интерфейсу Android, устанавливали свои полезные нагрузки, загружали и устанавливали другое вредоносное ПО и выполняли различные операции в фоновом режиме.

Однако некоторые вещи выделяют MasterFred. Одна из них заключается в том, что вредоносные приложения, используемые для доставки вредоносного ПО на устройства Android, также включают в себя HTML-оверлеи, используемые для отображения поддельных форм входа и сбора финансовой информации о жертвах.

Вредоносная программа также использует темный веб-шлюз Onion.ws (также известный как прокси-сервер Tor2Web) для доставки украденной информации на сетевые серверы Tor, находящиеся под контролем оператора.

Поскольку по крайней мере одно из вредоносных приложений, объединяющих MasterFred banker, недавно было доступно в магазине Google Play, можно с уверенностью сказать, что операторы MasterFred также, вероятно, используют сторонние магазины в качестве канала доставки для этого нового вредоносного ПО.

«Мы можем сказать, что по крайней мере одно приложение было доставлено через Google Play. Мы полагаем, что оно уже было удалено», — сказала BleepingComputer исследовательская группа Avast.

Индикаторы взлома (IOC), включая образцы хэшей MasterFred и домены командно-управляющих серверов, можно найти в ветке Avast Threat Labs в Twitter.

Последнее обновление 9 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии