Dos troyanos bancarios para Android diferentes, FluBot y Medusa, dependen del mismo vehículo de entrega como parte de una campaña de ataque simultáneo, según una nueva investigación publicada por ThreatFabric.
Las infecciones simultáneas en curso, facilitadas a través de la misma infraestructura de smishing (phishing por SMS), implicaron el uso superpuesto de «nombres de aplicaciones, nombres de paquetes e íconos similares», dijo la firma holandesa de seguridad móvil.
Medusa, descubierta por primera vez dirigida a organizaciones financieras turcas en julio de 2020, ha sufrido varias iteraciones, entre las que destaca la capacidad de abusar de los permisos de accesibilidad en Android para desviar fondos de aplicaciones bancarias a una cuenta controlada por el atacante.
«Medusa tiene otras características peligrosas como el registro de teclas, el registro de eventos de accesibilidad y la transmisión de audio y video; todas estas capacidades brindan a los actores un acceso casi completo a [a] dispositivo de la víctima», los investigadores dicho.
Las aplicaciones plagadas de malware que se usan junto con FluBot se hacen pasar por aplicaciones de DHL y Flash Player para infectar los dispositivos. Además, los ataques recientes que involucran a Medusa han ampliado su enfoque más allá de Turquía para incluir a Canadá y los EE. UU., y los operadores mantienen múltiples botnets para cada una de sus campañas.
FluBot (también conocido como Cabassous), por su parte, recibió una nueva actualización propia: la capacidad de interceptar y potencialmente manipular notificaciones de aplicaciones específicas en el dispositivo Android de una víctima al aprovechando la acción de respuesta directajunto con la respuesta automática a mensajes de aplicaciones como WhatsApp para difundir enlaces de phishing como un gusano.
«Con esta funcionalidad, este malware puede proporcionar [command-and-control server] proporcionó respuestas a las notificaciones de aplicaciones específicas en el dispositivo de la víctima”, dijeron los investigadores, y agregaron que la funcionalidad “puede ser utilizada por los actores para firmar transacciones fraudulentas en nombre de la víctima”.
Esta no es la primera vez que se descubre que el malware de Android se propaga creando respuestas automáticas a los mensajes en WhatsApp. El año pasado, ESET y Check Point Research descubrieron aplicaciones no autorizadas que se hacían pasar por Huawei Mobile y Netflix que empleaban el mismo modus operandi para realizar los ataques de gusanos.
«Cada vez más actores siguen el éxito de Cabassous en las tácticas de distribución, apropiándose de técnicas de enmascaramiento y utilizando el mismo servicio de distribución», dijeron los investigadores. «Al mismo tiempo, Cabassous sigue evolucionando, introduciendo nuevas funciones y dando un paso más para poder realizar fraudes en el dispositivo».
