atualmente, campanhas ativas contra usuários do Android estão carregando trojans bancários FluBot e Medusa. Ambos os trojans estão usando o mesmo mecanismo de distribuição em uma campanha de ataque simultâneo. A descoberta vem de pesquisadores de segurança da ThreatFabric.
Trojans Medusa e FluBot trabalhando juntos
De acordo com o relatório, em menos de um mês, Medusa infectou mais de 1500 dispositivos em uma botnet, usando DHL para escondê-lo. O trojan usa vários botnets para cada uma de suas campanhas, portanto, espera-se que o número de infecções cresça rapidamente. Enquanto isso, FluBot, também conhecido como Cabassous, continua a evoluir e suas campanhas não pararam. Os dois trojans estão sendo distribuídos juntos.
“Depois de visar organizações financeiras turcas em seu primeiro período de atividade em 2020, A Medusa agora mudou seu foco para a América do Norte e Europa, o que resulta em um número significativo de dispositivos infectados. Alimentado com vários recursos de acesso remoto, Medusa representa uma ameaça crítica para organizações financeiras em regiões-alvo," Os pesquisadores disse.
FluBot, por outro lado, continua sua evolução maliciosa, e agora está equipado com uma grande atualização que introduziu o encapsulamento de DNS por meio de serviços públicos de DNS sobre HTTPS, bem como a capacidade de explorar o recurso Notification Direct Reply no Android. Também pode interceptar notificações, possibilitando que seus operadores manipulem notificações de aplicativos direcionados em um dispositivo comprometido.
O que é mais ameaçador para os usuários do Android na Medusa é semi-ATS (Sistema de Transferência Automatizado) capacidade. “Ele é alimentado com um mecanismo de script de acessibilidade que permite que os atores executem um conjunto de ações em nome da vítima, com a ajuda do Android Accessibility Service. Além disso, Medusa ostenta outros recursos perigosos, como keylogging, Registro de eventos de acessibilidade, e streaming de áudio e vídeo – todos esses recursos fornecem aos atores acesso quase total ao dispositivo da vítima,”Os pesquisadores acrescentaram.
Ano passado, FluBot usou mensagens SMS (conhecido como smishing) sobre "entrega de pacotes perdidos" para se propagar entre os usuários do Android no Reino Unido. Nessa campanha específica, O FluBot foi instalado quando a vítima recebeu a referida mensagem de texto na qual foi solicitado a instalar um aplicativo de rastreamento relacionado à entrega do pacote perdido. O aplicativo era malicioso, projetado especificamente para roubar senhas e outros detalhes confidenciais.