Một phần mềm độc hại Android mới được gọi là MasterFred – đăng nhập giả để lấy cắp thông tin thẻ tín dụng của người dùng Netflix, Instagram và Twitter.
Trojan ngân hàng Android mới này cũng nhắm mục tiêu đến các khách hàng ngân hàng với lớp phủ đăng nhập giả mạo tùy chỉnh bằng nhiều ngôn ngữ.
Một mẫu MasterFred lần đầu tiên được gửi tới VirusTotal vào tháng 6 năm 2021 và lần đầu tiên được phát hiện vào tháng 6. Nhà phân tích phần mềm độc hại Alberto Segura cũng đã chia sẻ trực tuyến mẫu thứ hai, chỉ ra rằng nó đã được sử dụng để chống lại người dùng Android từ Ba Lan và Thổ Nhĩ Kỳ.
Sau khi phân tích phần mềm độc hại mới, các nhà nghiên cứu của Avast Threat Labs đã phát hiện ra các API được cung cấp bởi dịch vụ Trợ năng Android tích hợp sẵn để hiển thị các lớp phủ độc hại.
“Bằng cách sử dụng bộ công cụ Hỗ trợ tiếp cận ứng dụng được cài đặt trên Android theo mặc định, kẻ tấn công có thể sử dụng ứng dụng để thực hiện cuộc tấn công Lớp phủ để lừa người dùng nhập thông tin thẻ tín dụng để vi phạm tài khoản giả mạo trên cả Netflix và Twitter”, Avast cho biết.
Việc sử dụng độc hại dịch vụ Trợ năng không phải là điều gì mới vì những người tạo phần mềm độc hại đã sử dụng nó để mô phỏng các lần nhấn và điều hướng giao diện người dùng Android cài đặt các tải trọng của họ, tải xuống và cài đặt phần mềm độc hại khác cũng như thực thi các hoạt động khác nhau trong nền.
Tuy nhiên, một số điều khiến MasterFred trở nên nổi bật. Một trong số đó là các ứng dụng độc hại được sử dụng để cung cấp phần mềm độc hại trên thiết bị Android cũng đóng gói các lớp phủ HTML được sử dụng để hiển thị các biểu mẫu đăng nhập giả và thu thập thông tin tài chính của nạn nhân.
Phần mềm độc hại này cũng sử dụng cổng dark web Onion.ws (hay còn gọi là proxy Tor2Web) để cung cấp thông tin bị đánh cắp đến các máy chủ mạng Tor dưới sự kiểm soát của nhà điều hành.
Vì ít nhất một trong những ứng dụng độc hại đi kèm với MasterFred bank gần đây đã có mặt trên Cửa hàng Play của Google, nên có thể nói rằng các nhà điều hành của MasterFred cũng có khả năng sử dụng các cửa hàng bên thứ ba làm kênh phân phối phần mềm độc hại mới này.
Fanpage: Trí Việt JSC (Theo bleepingcomputer)
