Un nuovo malware destinato ai dispositivi Android colpisce utenti sottraendo i loro dati della carta di credito: il trojan, noto come MasterFred, utilizza falsi overlay di accesso per rubare le informazioni di pagamento degli utenti di Netflix, Instagram e Twitter mostrando, in fase di creazione account, false schermate di registrazione e pagamento tramite banche, personalizzate in più lingue.
Indice degli argomenti
I dettagli tecnici del malware MasterFred
Un campione del trojan MasterFred è stato individuato per la prima volta a giugno e poi subito inviato a VirusTotal per un’analisi. Anche l’analista di malware Alberto Segura ha condiviso online un secondo sample circa una settimana fa, sottolineando che è stato utilizzato attivamente contro gli utenti Android residenti prevalentemente in Polonia e Turchia.
Dopo aver analizzato il codice del nuovo malware, i ricercatori di Avast Threat Labs hanno scoperto le API fornite dal servizio di accessibilità Android integrato per visualizzare gli overlay dannosi. “Utilizzando il toolkit di accessibilità delle applicazioni installato su Android per impostazione predefinita, l’attaccante è in grado di utilizzare l’applicazione per implementare l’attacco Overlay per indurre l’utente a inserire informazioni della carta di credito su false schermate, per effettuare poi violazioni dell’account sia su Netflix che su Twitter”, si legge nella nota pubblicata dai ricercatori Avast.
L’uso dannoso del servizio di accessibilità non è una novità: già in passato i creatori di malware lo hanno utilizzato per simulare tap sullo schermo e navigare nell’interfaccia utente di Android, installare payload, scaricare e installare altri malware ed eseguire varie operazioni in background.
Tuttavia, MasterFred differisce per alcune caratteristiche particolari. Una di queste è che le app dannose utilizzate per distribuire il malware sui dispositivi Android raggruppano anche gli overlay HTML utilizzati per visualizzare i moduli di accesso falsi e raccogliere le informazioni finanziarie delle vittime.
Il malware utilizza anche il DarkNet gateway Onion.ws (noto anche come proxy Tor2Web) per fornire le informazioni rubate ai server di rete Tor sotto il controllo del criminal hacker.
Poiché almeno una delle app dannose che distribuisce malevolmente il trojan MasterFred è stata recentemente resa disponibile nel Play Store di Google, è plausibile pensare che gli hacker dietro a MasterFred stiano sfruttando anche app store di terze parti come canale di diffusione del nuovo malware.
I consigli per proteggersi
“Possiamo dire che almeno un’applicazione è stata installata tramite Google Play. Riteniamo che sia già stata rimossa”, ha detto il team di ricerca di Avast. Gli indicatori di compromissione (IoC), inclusi gli hash di esempio MasterFred e i domini dei server di comando e controllo, sono disponibili nel thread Twitter di Avast Threat Labs.
L’invito, quindi, è quello di essere sempre accorti nell’installare applicazioni da siti di terze parti, installare APK non conosciuti o non firmati, o installare applicazioni non ufficiali.
Come ulteriore soluzione di prevenzione, è consigliabile installare sullo smartphone anche un’app antivirus che, tenuta costantemente aggiornata, potrà riconoscere le più recenti ed eventuali installazioni malevole.
