Malware de Android se dirige a los usuarios de Netflix, Instagram y Twitter

Un nuevo malware de Android conocido como MasterFred utiliza superposiciones de inicio de sesión falsas para robar la información de la tarjeta de crédito de los usuarios de Netflix, Instagram y Twitter.

Este nuevo troyano bancario de Android también se dirige a los clientes bancarios con superposiciones de inicio de sesión falsas personalizadas en varios idiomas.

Una muestra de MasterFred se envió por primera vez a VirusTotal en junio de 2021 y se detectó por primera vez  en junio . El analista de malware Alberto Segura también compartió en línea una segunda muestra hace  una semana , señalando que se usó contra usuarios de Android de Polonia y Turquía.

Después de analizar el nuevo malware, los investigadores de Avast Threat Labs descubrieron las API proporcionadas por el servicio de accesibilidad de Android integrado para mostrar las superposiciones maliciosas.

"Al utilizar el kit de herramientas de accesibilidad de aplicaciones instalado en Android de forma predeterminada, el atacante puede usar la aplicación para implementar el ataque Overlay para engañar al usuario para que ingrese información de tarjeta de crédito para infracciones de cuentas falsas tanto en Netflix como en Twitter", dijo Avast  .

El uso malintencionado del servicio de accesibilidad no es algo nuevo, ya que los creadores de malware lo han estado utilizando para simular toques y navegar por la interfaz de usuario de Android, instalar sus cargas útiles, descargar e instalar otro malware y ejecutar varias operaciones en segundo plano.


Sin embargo, algunas cosas hacen que MasterFred se destaque. Uno de ellos es que las aplicaciones maliciosas que se utilizan para distribuir el malware en los dispositivos Android también agrupan las superposiciones de HTML que se utilizan para mostrar los formularios de inicio de sesión falsos y recopilar la información financiera de las víctimas.

El malware también utiliza la puerta de enlace de la web oscura No tienes permitido ver los links. Registrarse o Entrar a mi cuenta (también conocida como proxy Tor2Web) para entregar la información robada a los servidores de la red Tor bajo el control de su operador.

Dado que al menos una de las aplicaciones maliciosas que integran el banco MasterFred estuvo disponible recientemente en la Play Store de Google, es seguro decir que los operadores de MasterFred probablemente también estén usando tiendas de terceros como canal de entrega de este nuevo malware.

"Podemos decir que al menos una aplicación se entregó a través de Google Play. Creemos que ya se eliminó", dijo el equipo de investigación de Avast a BleepingComputer.

Los indicadores de compromiso (IOC), incluidos los hash de muestra de MasterFred y los dominios del servidor de comando y control, se pueden encontrar en el  hilo de Twitter de Avast Threat Labs .

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta