MasterFred Malware

Infosec-onderzoekers hebben een nieuwe Android-malwarebedreiging ontdekt, MasterFred genaamd. Net als een typische banktrojan maakt het gebruik van valse login-overlays en heeft het tot doel de creditcardgegevens of bankgegevens van de slachtoffers te verzamelen. Om zijn doelen te misleiden om de informatie te onthullenvrijwillig zijn de overlays van MasterFred ontworpen om die van populaire bank- en sociale applicaties na te bootsen, zoals Netflix, Twitter, Instagram en meer. De aanvalscampagne treft meerdere regio's en slachtoffers worden geïdentificeerd in Turkije en Polen.

Ten minste één van de bewapende appLicenties met MasterFred-malware konden worden gedownload in de officiële Google Play Storetijdelijk. Echter,de rest wordt hoogstwaarschijnlijk verspreid via app-platforms van derden.

Kwaadaardige functionaliteit

De applicaties die MasterFred leveren, worden ook geleverd met de benodigde HTML-overlayschermen. Deze omvatten de valse inlogformulieren die aan het slachtoffer worden gepresenteerd en alle ingevoerde informatie overhevelen. De basis van MasterFred-acties is echter de exploitatie van de ingebouwde Android Accessibility-tools. Op een typische manier die bij deze malwaretypes wordt waargenomen, maakt MasterFred misbruik van deze anders nuttige functie om de bedreigende overlays ervan weer te geven. Andere snode toepassingen van de toegankelijkheidsservice zijn onder meer de simulatie van tikken op het scherm om door de Android-gebruikersinterface te navigeren en beschadigde koppelingen te openen, extra payloads te leveren of andere acties op de achtergrond uit te voeren. MasterFred verzendt alle verzamelde informatie naar de Command-and-Control (C2, C&C) servers van de aanvallers, die worden gehost op het TOR-netwerk.