มัลแวร์บน Android ตัวใหม่มุ่งเป้าโจมตีกลุ่มผู้ใช้งาน Netflix, Instagram และ Twitter

มัลแวร์บนระบบปฏิบัติการ Android ตัวใหม่ ชื่อ MasterFred ใช้หน้าล็อกอินปลอม เพื่อหลอกขโมยข้อมูลบัตรเครดิตของผู้ใช้งาน Netflix, Instagram และ Twitter โดยมัลแวร์ตัวนี้ยังมุ่งเป้าไปยังลูกค้าของธนาคาร โดยการใช้หน้าล็อกอินปลอมเพื่อหลอกขโมยข้อมูลเหยื่อ ในหลาย ๆ ภาษาอีกด้วย

ตัวอย่างของมัลแวร์ MasterFred ถูกพบครั้งแรกเมื่อเดือนมิถุนายน 2021 บน VirusTotal หลังจากนั้น 1 สัปดาห์ Alberto Segura นักวิเคราะห์มัลแวร์ ได้แชร์ตัวอย่างอีกตัวของมัลแวร์ MasterFred ซึ่งแสดงให้เห็นว่ามันถูกใช้เพื่อขโมยข้อมูลผู้ใช้งาน Android ในโปแลนด์ และตุรกี

หลังจากได้วิเคราะห์มัลแวร์ตัวนี้แล้วทีมนักวิจัยจาก Avast Threat Labs ได้ค้นพบว่ามัลแวร์ได้สร้าง Overlays ปลอมขึ้นจาก Built-in APIs ของ Android Accessibility service

“ผู้โจมตีสามารถใช้งาน Application Accessibility toolkit ซึ่งติดตั้งมาบน Android ตั้งแต่ต้นเพื่อทำ Overlay attack หลอกให้ผู้ใช้งานกรอกข้อมูลบัตรเครดิตบน Overlay ปลอม โดยเกิดขึ้นทั้งบนแอปพลิเคชัน Netflix และ Twitter” กล่าวโดย Avast

การใช้งาน Accessibility service นั้นไม่ใช่เรื่องใหม่ เนื่องจากผู้พัฒนามัลแวร์ได้มีการใช้งาน Accessibility service เพื่อปลอม Tabs บน Browser และ Android UI เพื่อใช้ดาวน์โหลด และติดตั้ง Payloads อันตราย และมัลแวร์อื่น ๆ อีกทั้งยังใช้ในการ Execute โปรแกรมอื่นในเบื้องหลังด้วย

สิ่งที่ทำให้มัลแวร์ MasterFred โดดเด่นกว่ามัลแวร์ตัวอื่น คือ Malicious Apps ที่ถูกฝังมัลแวร์ตัวนี้บนอุปกรณ์ Android นั้นมาพร้อมกับ HTML overlays ที่สามารถใช้เพื่อแสดง Login forms ของปลอม เพื่อขโมยข้อมูลทางการเงินของเหยื่อได้

ตัวมัลแวร์เองยังใช้งาน Onion.ws ซึ่งเป็น Dark Web Gateway หรือที่เรียกกว่า Tor2Web proxy เพื่อส่งข้อมูลที่ขโมยมาได้ไปยัง Tor network servers ที่อยู่ในการควบคุมของผู้โจมตี

เนื่องจากมีการพบ Malicious Apps ที่ถูกฝังมัลแวร์ MasterFred บน Google's Play Store จึงคาดได้ว่าน่าจะมีการใช้ Third-party Stores อื่น ๆ เป็นช่องทางในการแพร่กระจายมัลแวร์ด้วยเช่นกัน

“เราบอกได้ว่าเราพบอย่างน้อยหนึ่งแอปพลิเคชันที่ถูกฝังมัลแวร์นี้ บน Google's Play Store ซึ่งเราเชื่อว่าตอนนี้มันน่าจะถูกนำออกจาก Google's Play Store ไปแล้ว” กล่าวโดยทีมนักวิจัยจาก Avast

สำหรับ Indicators of compromise (IOCs) รวมถึงตัวอย่างค่า่ hash และ command-and-control server domains สามารถตรวจสอบได้จาก Twitter thread ของทีม Avast Threat Labs

ที่มา: bleepingcomputer