Momenteel, actieve campagnes tegen Android-gebruikers dragen FluBot en Medusa banking trojans bij zich. Beide trojans gebruiken hetzelfde distributiemechanisme in een gelijktijdige aanvalscampagne. De ontdekking komt van beveiligingsonderzoekers van ThreatFabric.
Medusa- en FluBot-trojans werken samen
Volgens het rapport, in minder dan een maand, Medusa meer dan besmet 1500 apparaten in één botnet, DHL gebruiken om het te verbergen. De trojan gebruikt meerdere botnets voor elk van zijn campagnes, dus verwacht wordt dat het aantal besmettingen snel zal groeien. In de tussentijd, FluBot, ook bekend als Cabassous, blijft evolueren en de campagnes zijn niet gestopt. De twee trojans worden momenteel samen verspreid.
“Na het richten op Turkse financiële organisaties in de eerste periode van activiteit in 2020, Medusa heeft zijn focus nu verlegd naar Noord-Amerika en Europa, wat resulteert in een aanzienlijk aantal geïnfecteerde apparaten. Aangedreven met meerdere functies voor externe toegang, Medusa vormt een kritieke bedreiging voor financiële organisaties in gerichte regio's," de onderzoekers zei.
FluBot, anderzijds, zet zijn kwaadaardige evolutie voort, en is nu uitgerust met een grote update die DNS-tunneling introduceerde via openbare DNS-over-HTTPS-services, evenals de mogelijkheid om de functie Notification Direct Reply op Android te gebruiken. Het kan ook meldingen onderscheppen, waardoor het voor zijn operators mogelijk wordt om meldingen van gerichte apps op een gecompromitteerd apparaat te manipuleren.
Wat vooral bedreigend is voor Android-gebruikers in Medusa zijn semi-ATS (Geautomatiseerd overdrachtssysteem) vermogen. "Het wordt aangedreven door een scriptengine voor toegankelijkheid waarmee acteurs een reeks acties namens het slachtoffer kunnen uitvoeren, met de hulp van Android Toegankelijkheidsservice. Bovendien, Medusa heeft andere gevaarlijke functies zoals keylogging, Logboekregistratie van toegankelijkheidsgebeurtenissen, en audio- en videostreaming – al deze mogelijkheden bieden acteurs bijna volledige toegang tot het apparaat van het slachtoffer,"voegden de onderzoekers eraan toe".
Vorig jaar, FluBot gebruikte sms-berichten (kort bekend als smishing) over "gemiste pakketbezorging" om zichzelf te verspreiden onder Android-gebruikers in het VK. In die specifieke campagne, FluBot werd geïnstalleerd toen het slachtoffer het genoemde sms-bericht ontving waarin hen werd gevraagd een tracking-app te installeren met betrekking tot de gemiste pakketbezorging. De applicatie was kwaadaardig, speciaal ontworpen om wachtwoorden en andere gevoelige details te stelen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: