I'm the creeper

Attenzione a MasterFred il nuovo malware che prende di mira Android

Si aggiunge un nuovo malware alla lista dei virus per Android, l’ultimo identificato è MasterFred, capace di usare le librerie per l’accessibilità di Android per estorcere dati personali. In realtà, la tecnica utilizzata è già ben nota agli addetti ai lavori tanto che, in passato, era stata utilizzata per molteplici scopi malevoli. Il trojan è stato individuato a giugno 2021 e un nuovo campione è stato isolato la settimana scorsa. Per ora gli utenti colpiti maggiormente sono i cittadini della Polonia e della Turchia ma naturalmente c’è attenzione da parte dei laboratori nell’identificare la strategia d’attacco.

MasterFred, cosa fa il malware per Android

MasterFred è un trojan e come tale viene veicolato attraverso un’applicazione apparentemente innocua, tipicamente come payload. Dalle prime analisi condotte da Avast, almeno un’applicazione è stata certamente usata come vettore d’attacco attraverso il Play Store e probabilmente ora è già stata rimossa.

Il malware, una volta installato, utilizza le funzioni di accessibilità presenti in Android per presentare finestre false durante la creazione di profili Netflix e Twitter. Tramite gli Overlays HTML vengono mostrati campi in cui inserire dati finanziari, come carte di credito o credenziali di accesso alla propria banca, mascherati da moduli di login fasulli. Una volta compiute le proprie azioni, le applicazioni continuano a funzionare correttamente ma MasterFred trasmette in background i dati recuperati.

La tecnica, come anticipato, è già provata ed è stata molto inflazionata nel passato per innumerevoli forme d’attacco. Ad esempio, tramite gli Overlays era possibile produrre una sequenza di gesti dell’utilizzatore che lo inducessero ad attivare particolari funzioni di Android a sua insaputa. Infatti, l’Overlay mostra tipicamente un contenuto innocuo o fuorviante mentre le azioni (i tocchi) compiute sullo schermo vengono registrate dalle applicazioni in esecuzione in foreground (ma nascoste dall’Overlay stesso).

Alcuni dettagli aggiuntivi sull’attacco

Quel che sappiamo è che i cavalli di Troia sono definiti anche RAT, ovvero Remote Administration Tool. Pertanto necessitano di server di Comando e Controllo a cui mandare dati o da cui ricevere istruzioni che tipicamente non devono essere facilmente identificabili. Non a caso è stata identificata una Websocket in MasterFred verso il Dark web. Infatti, esso usa Onion.ws, un gateway verso il Dark web, come proxy per depositare le informazioni rubate agli utenti nei server degli attaccanti. L’utilizzo della rete Tor tiene al sicuro i malintenzionati dalla possibilità di essere identificati, grazie alla struttura particolarmente complessa della rete.

Come sempre i consigli sembrano banali ma possono salvarci la vita da casi come questo. Diffidiamo sempre di applicazioni di cui non conosciamo le origini e che non risultano verificate. In questo senso, anche applicazioni scaricate presso store di terze parti, potrebbero risultare maggiormente insicure di quelle presenti nel Play Store. Ma soprattutto, inseriamo codici personali e dati bancari solo se siamo davvero sicuri di dove siamo approdati. In questo caso, false pagine di Netflix, Instagram o Twitter hanno ingannato gli utenti che, fidandosi dei brand, non hanno pensato al perché fossero richiesti tali dati.

Published by
Nicola Fioranelli