Masterfred olarak bilinen yeni bir Android kötü amaçlı yazılımları, Netflix, Instagram ve Twitter kullanıcılarının kredi kartı bilgilerini çalmak için sahte oturum açımları kullanır.
Bu yeni Android bankacılık Trojan, aynı zamanda birden fazla dilde özel sahte giriş kaplamaları olan banka müşterilerini de hedefliyor.
Masterfred örneği ilk olarak Haziran 2021'de Virustotal'e sunuldu ve ilk kez Haziran ayında görüldü. Kötü Amaçlı Yazılım Analisti Alberto Segura ayrıca, bir hafta önce ikinci bir örnek paylaştı ve Polonya'dan Android kullanıcılarına karşı kullanıldığını belirtti.
Yeni kötü amaçlı yazılımları analiz ettikten sonra, Avast Threat Labs Araştırmacılar, kötü amaçlı bindirmeleri görüntülemek için yerleşik Android erişilebilirlik hizmeti tarafından sağlanan API'leri keşfetti.
"Uygulama Erişilebilirlik Araç Takımını Android'e varsayılan olarak kullanarak, saldırgan, kullanıcıyı kullanıcıyı, hem Netflix ve Twitter'da sahte hesap ihlalleri için kredi kartı bilgilerini girmeye almak için kaplama saldırısını uygulamak için uygulamayı kullanabiliyor." Dedi.
Erişilebilirlik hizmetinin kötü amaçlı kullanımı, kötü amaçlı yazılım yaratıcıları muslukları simüle etmek için kullandığından ve Android kullanıcı arabirimi yüklerini yüklemek, diğer kötü amaçlı yazılımları yüklemek, diğer kötü amaçlı yazılımları yüklemek ve yüklemek için kullanmak ve arka planda çeşitli işlemleri yürütmek için yeni bir şey değildir.
Türkiye ve Polonya'yı etkileyen tespit edilemeyen bir android var. CE0F20F0C1283FD0E29A5B6A4BD2A44C6A1968B0E7553386BF1E7C88FFCE5427 7660C207AFF4F7855A5F9667D7DBC05D9BC9C57107712337E139E188CecFEBB1 CC @malwrhunterteam pic.twitter.com/aum5ibsfyq
Ancak, bazı şeyler masterfred öne çıkıyor. Bunlardan biri, kötü amaçlı yazılımları Android cihazlarındaki teslim etmek için kullanılan kötü amaçlı uygulamaların ayrıca, sahte oturum açma formlarını görüntülemek ve mağdurların finansal bilgilerini hasat etmek için kullanılan HTML kaplamalarını da paketlemesidir.
Kötü amaçlı yazılım ayrıca, Operatörün Kontrolü altındaki Ağ Sunucusunu Tor Ağı sunucularını TOOL için çalınan bilgileri sunmak için Soğan.ws Dark Web Gateway'i (AKA TOR2WEB Proxy) kullanır.
Masterfred Banker'ı pahalayan kötü amaçlı uygulamalardan en az biri son zamanlarda Google'ın oyun mağazasında bulunduğundan, Masterfred'in operatörlerinin de bu yeni kötü amaçlı yazılım için bir teslimat kanalı olarak üçüncü taraf mağazalarını kullandığını söylemek güvenlidir.
Avast'in Araştırma Ekibi, BleepingComputer'a, "En az bir uygulamanın zaten kaldırıldığını söyleyebiliriz."
Masterfred Numune Hashes ve Command-Control Server alanları dahil olmak üzere uzlaşma (IOC'ler) göstergeleri, Avast tehdit laboratuvarlarında Twitter iş parçacığında bulunabilir.
Flubot Android Malware şimdi sahte güvenlik güncellemeleri ile yayılır
PhoneSpy: Güney Koreli kullanıcıları hedefleyen Android Casus Yazılım Kampanyası
Mekotio bankacılık Trojan'ın gizli versiyonu vahşi doğada
Japonya'da antivirüs yazılımı olarak yayılan Android casus yazılım
Yeni Abstractemu Kötü Amaçlı Yazılım Kökleri Android Cihazları, Tespiti Kaçıyor
Kaynak: Bleeping Computer