Un nouveau malware Android connu sous le nom de MasterFred utilise de fausses superpositions de connexion pour voler les informations de carte de crédit des utilisateurs de Netflix, Instagram et Twitter.
Ce nouveau cheval de Troie bancaire Android cible également les clients des banques avec de fausses superpositions de connexion personnalisées dans plusieurs langues.
Un échantillon MasterFred a été soumis pour la première fois à VirusTotal en juin 2021 et a été repéré pour la première fois en juin. L’analyste des logiciels malveillants Alberto Segura a également partagé en ligne un deuxième échantillon il y a une semaine, soulignant qu’il a été utilisé contre des utilisateurs d’Android de Pologne et de Turquie.
Après avoir analysé le nouveau malware, les chercheurs d’Avast Threat Labs ont découvert des API fournies par le service d’accessibilité Android intégré pour afficher les superpositions malveillantes.
« En utilisant la boîte à outils d’accessibilité des applications installée sur Android par défaut, l’attaquant est en mesure d’utiliser l’application pour mettre en œuvre l’attaque Overlay pour inciter l’utilisateur à saisir des informations de carte de crédit pour de fausses violations de compte sur Netflix et Twitter », Avast mentionné.
L’utilisation malveillante du service d’accessibilité n’est pas quelque chose de nouveau puisque les créateurs de logiciels malveillants l’utilisent pour simuler des pressions et naviguer dans l’interface utilisateur Android pour installer leurs charges utiles, télécharger et installer d’autres logiciels malveillants et exécuter diverses opérations en arrière-plan.
Il semble qu’il y ait un Android non détecté #Banquier affectant la Turquie et la Pologne.
ce0f20f0c1283fd0e29a5b6a4bd2a44c6a1968b0e7553386bf1e7c88ffce5427
7660c207aff4f7855a5f9667d7dbc05d9bc9c57107712337e139e188cecfebb1cc @malwrhunterteam pic.twitter.com/aUm5ibSFYQ
– Alberto Segura (@alberto__segura) 3 novembre 2021
Cependant, certaines choses font que MasterFred se démarque. L’un d’eux est que les applications malveillantes utilisées pour diffuser le malware sur les appareils Android regroupent également les superpositions HTML utilisées pour afficher les faux formulaires de connexion et récolter les informations financières des victimes.
Le malware utilise également la passerelle Web sombre Onion.ws (alias proxy Tor2Web) pour transmettre les informations volées aux serveurs du réseau Tor sous le contrôle de son opérateur.
Étant donné qu’au moins une des applications malveillantes regroupant le banquier MasterFred était récemment disponible sur le Play Store de Google, il est sûr de dire que les opérateurs de MasterFred utilisent également probablement des magasins tiers comme canal de livraison pour ce nouveau malware.
« Nous pouvons dire qu’au moins une application a été livrée via Google Play. Nous pensons qu’elle a déjà été supprimée », a déclaré l’équipe de recherche d’Avast à EZpublish-france.fr.
Les indicateurs de compromission (IOC), y compris les exemples de hachage MasterFred et les domaines de serveur de commande et de contrôle, peuvent être trouvés dans Fil Twitter d’Avast Threat Labs.