Actuellement, des campagnes actives contre les utilisateurs d'Android transportent les chevaux de Troie bancaires FluBot et Medusa. Les deux chevaux de Troie utilisent le même mécanisme de distribution dans une campagne d'attaque simultanée. La découverte vient des chercheurs en sécurité de ThreatFabric.
Les chevaux de Troie Medusa et FluBot travaillent ensemble
Selon le rapport, en moins d'un mois, Medusa a infecté plus de 1500 appareils dans un botnet, utiliser DHL pour le dissimuler. Le cheval de Troie utilise plusieurs botnets pour chacune de ses campagnes, on s'attend donc à ce que le nombre d'infections augmente rapidement. Pendant ce temps, FluBot, aussi connu sous le nom de Cabassous, continue d'évoluer et ses campagnes ne se sont pas arrêtées. Les deux chevaux de Troie sont actuellement distribués ensemble.
"Après avoir ciblé les organisations financières turques dans sa première période d'activité en 2020, Medusa s'est désormais concentré sur l'Amérique du Nord et l'Europe, ce qui entraîne un nombre important d'appareils infectés. Alimenté par plusieurs fonctionnalités d'accès à distance, Medusa représente une menace critique pour les organisations financières dans les régions ciblées," les chercheurs dit.
FluBot, d'autre part, continue son évolution malveillante, et est maintenant équipé d'une mise à jour majeure qui a introduit le DNS-tunneling via des services publics DNS-over-HTTPS, ainsi que la possibilité d'exploiter la fonctionnalité Notification Direct Reply sur Android. Il peut également intercepter les notifications, permettant à ses opérateurs de manipuler les notifications d'applications ciblées sur un appareil compromis.
Ce qui menace le plus les utilisateurs d'Android dans Medusa, c'est son semi-ATS (Système de transfert automatisé) aptitude. "Il est alimenté par un moteur de script d'accessibilité qui permet aux acteurs d'effectuer un ensemble d'actions au nom de la victime, avec l'aide du service d'accessibilité Android. En outre, Medusa arbore d'autres fonctionnalités dangereuses comme l'enregistrement de frappe, Journalisation des événements d'accessibilité, et streaming audio et vidéo – toutes ces capacités offrent aux acteurs un accès presque complet à l'appareil de la victime,” les chercheurs ont ajouté.
L'année dernière, FluBot a utilisé des SMS (bientôt connu sous le nom de smishing) sur la "livraison de colis manquée" pour se propager parmi les utilisateurs d'Android au Royaume-Uni. Dans cette campagne particulière, FluBot a été installé lorsque la victime a reçu ledit message texte dans lequel elle a été invitée à installer une application de suivi liée à la livraison de colis manquée. L'application était malveillante, spécialement conçu pour voler les mots de passe et autres détails sensibles.