Atak na polskich użytkowników Androida - istotne ostrzeżenie
Branżowi specjaliści do spraw cyberbezpieczeństwa zindentfyikowali właśnie zagrożenie o nazwie MasterFred, które atakuje androidowych użytkowników popularnych serwisów... głównie w Turcji i Polsce.
Nowy androidowy malware jest bardzo niebezpieczny, bo jego celem jest przechwytywanie danych kart kredytowych użytkowników Netflixa, Instagrama i Twittera, a także osób korzystających z aplikacji bankowych na swoich urządzeniach mobilnych. W jaki sposób działa? Wyświetlając użytkownikom fałszywe aplikacje w miejsce prawdziwych i licząc na to, że część się nie zorientuje i wprowadzi na nich swoje dane do płatności.
Próbka MasterFred została zgłoszona do VirusTotal w czerwcu tego roku i właśnie wtedy widziano zagrożenie w akcji po raz pierwszy - teraz zaś Alberto Segura, analityk specjalizujący się w malware, poinformował, że od tego czasu było stosowane do ataków na użytkowników Androida w Turcji i w Polsce.
Po analizie malware badacze Avast Threat Labs odkryli, że hakerzy korzystają z wbudowanej usługi Android Accessibility do wyświetlania fałszywych nakładek na popularne aplikacje: - Wykorzystując instalowane domyślnie na Androidzie narzędzie Application Accessibility, atakujący jest w stanie zaimplementować nakładki do oszukania użytkownika, by wpisał dane kredytowe w fałszywej apce Netflixa i Twittera.
Takie wykorzystanie usługi Accessibility nie jest niczym nowym, bo twórcy malware od dłuższego czasu korzystają z niej do symulowania kliknięć i nawigacji po interfejsie użytkownika, żeby instalować swoje oprogramowanie i inny malware czy też wykonywać podejrzane operacje w tle. MasterFred wyróżnia się jednak na tle innych podobnych zagrożeń - po pierwsze, zawiera również nakładki na strony HTML, a nie tylko aplikacje, a co więcej korzysta z proxy Tor2Web do dostarczania skradzionych informacji finansowych do atakujących.
Co warto podkreślić, w Sklepie Play zidentyfikowano co najmniej jedną aplikację zawierającą malware MasterFred, śmiało można więc zakładać, że hakerzy korzystają z oprogramowania firm trzecich, żeby infekować urządzenia swoim programem. Co prawda zespół Avast sugeruje w wypowiedzi dla BleepingComputer, że Google już usunęło wspomnianą aplikację ze swojego sklepu, ale lepiej przyjąć, że tych było więcej i uważać na swoją aktywność mobilną.