Medusa Android Banking Trojan verspreidt zich via het aanvalsnetwerk van Flubot

El troyano bancario para Android Medusa se propaga a través de la red de ataques de Flubot Nachrichten

Twee verschillende Android banking-trojans, FluBot en Medusa, vertrouwen op hetzelfde leveringsvoertuig als onderdeel van een gelijktijdige aanvalscampagne, volgens nieuw onderzoek gepubliceerd door ThreatFabric.

De aanhoudende zij-aan-zij-infecties, mogelijk gemaakt door dezelfde smishing (sms-phishing) infrastructuur, omvatten het overlappende gebruik van “app-namen, pakketnamen en soortgelijke pictogrammen”, aldus het Nederlandse mobiele beveiligingsbedrijf.

Medusa, voor het eerst ontdekt als doelwit van Turkse financiële organisaties in juli 2020, heeft verschillende iteraties ondergaan, waaronder de mogelijkheid om de toegankelijkheidsrechten in Android te misbruiken om geld van bank-apps over te hevelen naar een account dat wordt beheerd door de aanvaller.

“Medusa heeft andere gevaarlijke functies zoals keylogging, logboekregistratie van toegankelijkheidsgebeurtenissen en audio- en videostreaming – al deze mogelijkheden bieden acteurs bijna volledige toegang tot [a] apparaat van het slachtoffer,” de onderzoekers zei.

De door malware geteisterde apps die in combinatie met FluBot worden gebruikt, doen zich voor als DHL- en Flash Player-apps om de apparaten te infecteren. Bovendien hebben recente aanvallen waarbij Medusa betrokken was, hun focus buiten Turkije uitgebreid naar Canada en de VS, waarbij de operators meerdere botnets onderhouden voor elk van hun campagnes.

FluBot (ook bekend als Cabassous) heeft op zijn beurt een nieuwe upgrade gekregen: de mogelijkheid om meldingen van gerichte applicaties op het Android-apparaat van een slachtoffer te onderscheppen en mogelijk te manipuleren door gebruik maken van de actie direct antwoordnaast het automatisch beantwoorden van berichten van apps zoals WhatsApp om phishing-links op een wormachtige manier te verspreiden.

“Met deze functionaliteit kan deze malware bieden: [command-and-control server] leverde reacties op meldingen van gerichte applicaties op het apparaat van het slachtoffer”, aldus de onderzoekers, terwijl ze de functionaliteit toevoegen “die door actoren kan worden gebruikt om namens het slachtoffer frauduleuze transacties te ondertekenen.”

Dit is niet de eerste keer dat Android-malware zich verspreidt door automatische antwoorden op berichten in WhatsApp te maken. Vorig jaar ontdekten ESET en Check Point Research malafide apps die zich voordeden als Huawei Mobile en Netflix en die dezelfde modus operandi gebruikten om de wormable aanvallen uit te voeren.

“Steeds meer acteurs volgen het succes van Cabassous op het gebied van distributietactieken, zich vermomde technieken eigen en dezelfde distributieservice gebruiken”, aldus de onderzoekers. “Tegelijkertijd blijft Cabassous evolueren, nieuwe functies introduceren en een nieuwe stap zetten in de richting van fraude op het apparaat.”

David
Rate author
Hackarizona