Twee verschillende Android banking-trojans, FluBot en Medusa, vertrouwen op hetzelfde leveringsvoertuig als onderdeel van een gelijktijdige aanvalscampagne, volgens nieuw onderzoek gepubliceerd door ThreatFabric.
De aanhoudende zij-aan-zij-infecties, mogelijk gemaakt door dezelfde smishing (SMS-phishing) infrastructuur, omvatten het overlappende gebruik van "app-namen, pakketnamen en soortgelijke pictogrammen", aldus het Nederlandse mobiele beveiligingsbedrijf.
Medusa, voor het eerst ontdekt als doelwit van Turkse financiële organisaties in juli 2020, heeft verschillende iteraties ondergaan, waaronder de mogelijkheid om de toegankelijkheidsrechten in Android te misbruiken om geld van bank-apps over te hevelen naar een account dat wordt beheerd door de aanvaller.
"Medusa heeft andere gevaarlijke functies zoals keylogging, logboekregistratie van toegankelijkheidsgebeurtenissen en audio- en videostreaming - al deze mogelijkheden bieden acteurs bijna volledige toegang tot het apparaat van [een] slachtoffer", aldus de onderzoekers. zei.
De door malware geteisterde apps die in combinatie met FluBot worden gebruikt, doen zich voor als DHL- en Flash Player-apps om de apparaten te infecteren. Bovendien hebben recente aanvallen waarbij Medusa betrokken was, hun focus buiten Turkije uitgebreid naar Canada en de VS, waarbij de operators meerdere botnets onderhouden voor elk van hun campagnes.
flubot (ook bekend als Cabassous) heeft op zijn beurt een nieuwe upgrade gekregen: de mogelijkheid om meldingen van gerichte applicaties op het Android-apparaat van een slachtoffer te onderscheppen en mogelijk te manipuleren door gebruik maken van de actie direct antwoord, naast het automatisch beantwoorden van berichten van apps zoals WhatsApp om phishing-links op een wormachtige manier te verspreiden.
"Met deze functionaliteit is deze malware in staat om door [command-and-control server] geleverde reacties te geven op meldingen van gerichte applicaties op het apparaat van het slachtoffer", aldus de onderzoekers, terwijl ze de functionaliteit toevoegen "kan door actoren worden gebruikt om frauduleuze transacties te ondertekenen op namens het slachtoffer.”
Dit is niet de eerste keer dat Android-malware zich verspreidt door automatische antwoorden op berichten in WhatsApp te maken. Afgelopen jaar, ESET en Check Point Research ontdekte frauduleuze apps die zich voordeden als Huawei Mobile en Netflix en die dezelfde modus operandi gebruikten om de wormbare aanvallen uit te voeren.
"Steeds meer acteurs volgen het succes van Cabassous op het gebied van distributietactieken, zich vermomde technieken eigen en dezelfde distributieservice gebruiken", aldus de onderzoekers. "Tegelijkertijd blijft Cabassous evolueren, nieuwe functies introduceren en een nieuwe stap zetten in de richting van fraude op het apparaat."
