MasterFred Malware

Forscher von Infosec haben eine neue Android-Malware-Bedrohung namens MasterFred entdeckt. Wie ein typischer Banking-Trojaner verwendet er gefälschte Login-Overlays und zielt darauf ab, die Kreditkarten- oder Bankdaten der Opfer zu sammeln. Um seine Ziele dazu zu bringen, die Informationen freiwillig preiszugeben sind die Overlays von MasterFred so konzipiert, dass sie die von beliebten Bank- und sozialen Anwendungen wie Netflix, Twitter, Instagram und mehr nachahmen. Die Angriffskampagne betrifft mehrere Regionen, wobei die Opfer in der Türkei und in Polen identifiziert wurden.

Mindestens eine der Waffen-Apps mit MasterFred-Malware standen vorübergehend im offiziellen Google Play Store zum Download bereit. Jedoch, der Rest wird höchstwahrscheinlich über App-Plattformen von Drittanbietern verbreitet.

Schädliche Funktionalität

Die Anwendungen, die MasterFred bereitstellen, werden auch mit den erforderlichen HTML-Overlay-Bildschirmen geliefert. Dazu gehören die gefälschten Anmeldeformulare, die dem Opfer vorgelegt werden und alle eingegebenen Informationen absaugen. Die Grundlage der MasterFred-Aktionen ist jedoch die Nutzung der integrierten Android-Accessibility-Tools. In einer typischen Weise, die bei diesen Malware-Typen beobachtet wird, missbraucht MasterFred diese ansonsten nützliche Funktion, um ihre bedrohlichen Überlagerungen anzuzeigen. Andere schändliche Anwendungen des Accessibility-Dienstes können die Simulation von Bildschirmtipps umfassen, um durch die Android-Benutzeroberfläche zu navigieren und entweder beschädigte Links zu öffnen, zusätzliche Nutzlasten bereitzustellen oder andere Aktionen im Hintergrund auszuführen. MasterFred überträgt alle gesammelten Informationen an die Command-and-Control (C2, C&C) Server der Angreifer, die im TOR-Netzwerk gehostet werden.