I øjeblikket, aktive kampagner mod Android-brugere bærer FluBot- og Medusa-banktrojanske heste. Begge trojanske heste bruger den samme distributionsmekanisme i en samtidig angrebskampagne. Opdagelsen kommer fra sikkerhedsforskere hos ThreatFabric.
Medusa og FluBot trojanske heste arbejder sammen
Ifølge rapporten, på mindre end en måned, Medusa inficeret mere end 1500 enheder i ét botnet, bruge DHL til at skjule det. Trojanen bruger flere botnets til hver af sine kampagner, så smittetallet forventes at vokse hurtigt. I mellemtiden, FluBot, også kendt som Cabassous, fortsætter med at udvikle sig, og dets kampagner er ikke stoppet. De to trojanske heste bliver i øjeblikket distribueret sammen.
"Efter at have målrettet tyrkiske finansielle organisationer i sin første aktivitetsperiode i 2020, Medusa har nu skiftet fokus til Nordamerika og Europa, hvilket resulterer i et betydeligt antal inficerede enheder. Drevet med flere fjernadgangsfunktioner, Medusa udgør en kritisk trussel mod finansielle organisationer i målrettede regioner,”forskerne sagde.
FluBot, på den anden side, fortsætter sin ondsindede udvikling, og er nu udstyret med en større opdatering, der introducerede DNS-tunneling via offentlige DNS-over-HTTPS-tjenester, samt muligheden for at udnytte funktionen Besked direkte svar på Android. Det kan også opsnappe notifikationer, gør det muligt for dets operatører at manipulere meddelelser fra målrettede apps på en kompromitteret enhed.
Hvad er for det meste truende for Android-brugere i Medusa sin semi-ATS (Automatiseret overførselssystem) evne. "Den er drevet af en Accessibility scripting engine, der gør det muligt for skuespillere at udføre en række handlinger på ofrets vegne, med hjælp fra Android Accessibility Service. Desuden, Medusa har andre farlige funktioner som keylogging, Logning af tilgængelighedshændelser, og streaming af lyd og video – alle disse muligheder giver skuespillere næsten fuld adgang til ofrets enhed,”Tilføjede forskerne.
Sidste år, FluBot brugte SMS-beskeder (snart kendt som smishing) om "missed package delivery" for at udbrede sig på tværs af Android-brugere i Storbritannien. I den særlige kampagne, FluBot blev installeret, da offeret modtog den nævnte tekstbesked, hvori de blev bedt om at installere en sporingsapp relateret til den mistede pakkelevering. Applikationen var ondsindet, specielt designet til at stjæle adgangskoder og andre følsomme detaljer.