Zur Zeit, aktive Kampagnen gegen Android-Nutzer tragen die Banking-Trojaner FluBot und Medusa. Beide Trojaner verwenden denselben Verteilungsmechanismus in einer gleichzeitigen Angriffskampagne. Die Entdeckung stammt von Sicherheitsforschern von ThreatFabric.
Medusa- und FluBot-Trojaner arbeiten zusammen
Nach dem Bericht, in weniger als einem Monat, Medusa mehr als infiziert 1500 Geräte in einem Botnetz, mit DHL, um es zu verschleiern. Der Trojaner verwendet mehrere Botnets für jede seiner Kampagnen, Die Infektionszahlen dürften also schnell steigen. In der Zwischenzeit, FluBot, auch bekannt als Cabassous, entwickelt sich weiter und seine Kampagnen haben nicht aufgehört. Die beiden Trojaner werden derzeit gemeinsam verbreitet.
„Nachdem er türkische Finanzorganisationen in seiner ersten Tätigkeitsphase ins Visier genommen hatte 2020, Medusa hat seinen Fokus nun auf Nordamerika und Europa verlagert, was zu einer erheblichen Anzahl infizierter Geräte führt. Ausgestattet mit mehreren Fernzugriffsfunktionen, Medusa stellt eine kritische Bedrohung für Finanzorganisationen in Zielregionen dar," die Forscher sagte.
FluBot, andererseits, setzt seine bösartige Entwicklung fort, und ist jetzt mit einem großen Update ausgestattet, das DNS-Tunneling über öffentliche DNS-over-HTTPS-Dienste eingeführt hat, sowie die Möglichkeit, die Notification Direct Reply-Funktion auf Android auszunutzen. Es kann auch Benachrichtigungen abfangen, Dies ermöglicht es seinen Betreibern, Benachrichtigungen von gezielten Apps auf einem kompromittierten Gerät zu manipulieren.
Was für Android-Nutzer am meisten bedrohlich ist, ist Medusas Semi-ATS (Automatisiertes Transfersystem) Fähigkeit. „Es wird von einer Accessibility-Scripting-Engine angetrieben, die es Akteuren ermöglicht, eine Reihe von Aktionen im Namen des Opfers auszuführen, mit Hilfe des Android Accessibility Service. Zudem, Medusa verfügt über weitere gefährliche Funktionen wie Keylogging, Protokollierung von Barrierefreiheitsereignissen, und Audio- und Video-Streaming – All diese Funktionen bieten Akteuren nahezu vollständigen Zugriff auf das Gerät des Opfers,“ fügten die Forscher hinzu.
Letztes Jahr, FluBot verwendete SMS-Nachrichten (kurz als smishing bekannt) über „verpasste Paketzustellung“, um sich unter Android-Nutzern in Großbritannien zu verbreiten. In dieser speziellen Kampagne, FluBot wurde installiert, als das Opfer die besagte Textnachricht erhielt, in der es aufgefordert wurde, eine Tracking-App zu installieren, die sich auf die verpasste Paketzustellung bezieht. Die Anwendung war bösartig, speziell entwickelt, um Passwörter und andere sensible Details zu stehlen.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: