Actualmente, las campañas activas contra los usuarios de Android llevan troyanos bancarios FluBot y Medusa. Ambos troyanos utilizan el mismo mecanismo de distribución en una campaña de ataque simultánea. El descubrimiento proviene de los investigadores de seguridad de ThreatFabric..
Troyanos Medusa y FluBot trabajando juntos
De acuerdo con el informe, en menos de un mes, Medusa infectó a más de 1500 dispositivos en una botnet, usando DHL para ocultarlo. El troyano utiliza múltiples botnets para cada una de sus campañas, por lo que se espera que el número de infecciones crezca rápidamente. Mientras tanto, FluBot, también conocido como Cabassous, sigue evolucionando y sus campañas no han parado. Actualmente, los dos troyanos se distribuyen juntos..
“Después de apuntar a las organizaciones financieras turcas en su primer período de actividad en 2020, Medusa ahora ha cambiado su enfoque a América del Norte y Europa, lo que resulta en un número significativo de dispositivos infectados. Alimentado con múltiples funciones de acceso remoto, Medusa representa una amenaza crítica para las organizaciones financieras en regiones específicas," los investigadores dijo.
FluBot, Por otra parte, continúa su evolución maliciosa, y ahora está equipado con una actualización importante que introdujo la tunelización de DNS a través de servicios públicos de DNS sobre HTTPS, así como la capacidad de explotar la función de respuesta directa de notificación en Android. También puede interceptar notificaciones., haciendo posible que sus operadores manipulen las notificaciones de aplicaciones específicas en un dispositivo comprometido.
Lo que más amenaza a los usuarios de Android en Medusa es su semi-ATS (Sistema de Transferencia Automatizado) capacidad. “Funciona con un motor de secuencias de comandos de accesibilidad que permite a los actores realizar una serie de acciones en nombre de la víctima., con la ayuda del Servicio de Accesibilidad de Android. Por otra parte, Medusa tiene otras características peligrosas como el registro de teclas, Registro de eventos de accesibilidad, y transmisión de audio y video – todas estas capacidades brindan a los actores un acceso casi total al dispositivo de la víctima,”Agregaron los investigadores.
El año pasado, FluBot utilizó mensajes SMS (poco conocido como smishing) sobre la "entrega de paquetes perdidos" para propagarse entre los usuarios de Android en el Reino Unido. En esa campaña en particular, FluBot se instaló cuando la víctima recibió dicho mensaje de texto en el que se le pedía que instalara una aplicación de seguimiento relacionada con la entrega del paquete perdido.. La aplicación era maliciosa., diseñado específicamente para robar contraseñas y otros detalles confidenciales.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: