Hai Trojan ngân hàng Android khác nhau, FluBot và Medusa, đang dựa trên cùng một phương tiện giao hàng như một phần của chiến dịch tấn công đồng thời, theo nghiên cứu mới được công bố bởi ThreatFainst.
Công ty bảo mật di động Hà Lan cho biết, các đợt lây nhiễm song song đang diễn ra, được tạo điều kiện thông qua cùng một cơ sở hạ tầng đánh bóng (lừa đảo qua SMS), liên quan đến việc sử dụng trùng lặp “tên ứng dụng, tên gói và các biểu tượng tương tự”, công ty bảo mật di động Hà Lan cho biết.
Medusa, lần đầu tiên được phát hiện nhắm mục tiêu vào các tổ chức tài chính Thổ Nhĩ Kỳ vào tháng 7 năm 2020, đã trải qua một số lần lặp lại, trong đó chính là khả năng lạm dụng quyền truy cập trong Android để bòn rút tiền từ các ứng dụng ngân hàng vào tài khoản do kẻ tấn công kiểm soát.
“Medusa thể hiện các tính năng nguy hiểm khác như keylogging, ghi nhật ký sự kiện trợ năng và phát trực tuyến âm thanh và video – tất cả những tính năng này cung cấp cho các diễn viên quyền truy cập gần như đầy đủ [a] thiết bị của nạn nhân, “các nhà nghiên cứu cho biết.
Các ứng dụng chứa phần mềm độc hại được sử dụng cùng với FluBot giả dạng ứng dụng DHL và Flash Player để lây nhiễm các thiết bị. Ngoài ra, các cuộc tấn công gần đây liên quan đến Medusa đã mở rộng trọng tâm ra ngoài Thổ Nhĩ Kỳ để bao gồm Canada và Mỹ, với việc các nhà khai thác duy trì nhiều mạng botnet cho mỗi chiến dịch của họ.
Về phần mình, FluBot (hay còn gọi là Cabassous) đã nhận được một bản nâng cấp mới: khả năng chặn và có khả năng thao túng thông báo từ các ứng dụng được nhắm mục tiêu trên thiết bị Android của nạn nhân bằng cách tận dụng hành động trả lời trực tiếp, cùng với tự động trả lời tin nhắn từ ứng dụng như WhatsApp để phát tán các liên kết lừa đảo theo kiểu giống sâu.
“Với chức năng này, phần mềm độc hại này có thể cung cấp [command-and-control server] Các nhà nghiên cứu cho biết thêm các chức năng “có thể được các tác nhân sử dụng để ký các giao dịch gian lận trên thiết bị của nạn nhân”.
Đây không phải là lần đầu tiên phần mềm độc hại Android được phát hiện lan truyền bằng cách tạo trả lời tự động cho tin nhắn trong WhatsApp. Năm ngoái, ESET và Check Point Research đã phát hiện ra các ứng dụng giả mạo là Huawei Mobile và Netflix đã sử dụng cùng một phương thức để thực hiện các cuộc tấn công có thể sâu.
Các nhà nghiên cứu cho biết: “Ngày càng có nhiều diễn viên học theo thành công của Cabassous trong các chiến thuật phân phối, sử dụng các kỹ thuật giả dạng và sử dụng cùng một dịch vụ phân phối. “Đồng thời, Cabassous tiếp tục phát triển, giới thiệu các tính năng mới và thực hiện một bước nữa để có thể thực hiện gian lận trên thiết bị.”
.