MasterFred首次发现于今年6月,恶意软件分析师Alberto Segura一周前也在网上分享了第二个样本 ,指出它被用来攻击波兰和土耳其的 Android用户。
在分析了新版本的恶意软件后,发现它试图使用系统上的辅助功能服务来获得对系统的更高权限。如果用户允许,恶意软件会识别系统上安装了哪些应用程序,并且每当用户打开Netflix、instagram或Twitter 时,就会在原始应用程序上创建虚假登录窗口。
恶意使用辅助功能服务并不是什么新鲜事,因为恶意软件作者一直在使用它来模拟点击和导航Android UI安装恶意软件,并在后台执行各种操作。
而MasterFred的与众不同,在于其虚假登录页面存储在恶意软件代码中,并使用Onion.ws暗网网关(又名Tor2Web代理)将窃取的信息传送到受其控制的Tor 网络服务器。
Avast的研究团队发现,这种恶意软件主要由谷歌 Play 商店以外的应用程序传播,尽管已经在谷歌商店中发现了至少一个包含该恶意程序的应用,但该应用已被删除。因此,MasterFred很可能使用第三方商店作为传播渠道。
参考来源:
https://www.bleepingcomputer.com/news/security/new-android-malware-targets-netflix-instagram-and-twitter-users/
