Medusa Android Banking Trojan lây lan qua mạng lưới các cuộc tấn công của Flubot

Hai Trojan ngân hàng Android khác nhau, FluBot và Medusa, đang dựa trên cùng một phương tiện giao hàng như một phần của chiến dịch tấn công đồng thời, theo nghiên cứu mới được công bố bởi ThreatFainst.

Công ty Hà Lan cho biết, các đợt lây nhiễm song song đang diễn ra, được tạo điều kiện thông qua cùng một cơ sở hạ tầng đánh bóng (lừa đảo qua SMS), liên quan đến việc sử dụng trùng lặp “tên ứng dụng, tên gói và các biểu tượng tương tự”, công ty bảo mật di động Hà Lan cho biết.

Medusa, lần đầu tiên được phát hiện nhắm mục tiêu vào các tổ chức tài chính Thổ Nhĩ Kỳ vào tháng 7 năm 2020, đã trải qua một số lần lặp lại, trong đó chính là khả năng lạm dụng quyền truy cập trong Android để bòn rút tiền từ các ứng dụng ngân hàng vào tài khoản do kẻ tấn công kiểm soát.

“Medusa thể hiện các tính năng nguy hiểm khác như keylogging, ghi nhật ký sự kiện trợ năng và phát trực tuyến âm thanh và video – tất cả những tính năng này cung cấp cho các diễn viên quyền truy cập gần như đầy đủ [a] thiết bị của nạn nhân, “các nhà nghiên cứu cho biết.

Các ứng dụng chứa được sử dụng cùng với FluBot giả dạng ứng dụng DHL và Flash Player để lây nhiễm các thiết bị. Ngoài ra, các cuộc tấn công gần đây liên quan đến Medusa đã mở rộng trọng tâm ra ngoài Thổ Nhĩ Kỳ để bao gồm Canada và Mỹ, với việc các nhà khai thác duy trì nhiều mạng botnet cho mỗi chiến dịch của họ.

Xem tiếp:   Interpol bắt giữ hơn 1.000 tội phạm mạng từ 20 quốc gia; Thu được 27 triệu đô la

Về phần mình, FluBot (hay còn gọi là Cabassous) đã nhận được một bản nâng cấp mới: khả năng chặn và có khả năng thao túng thông báo từ các ứng dụng được nhắm mục tiêu trên thiết bị Android của nạn nhân bằng cách tận dụng hành động trả lời trực tiếp, cùng với tự động trả lời tin nhắn từ ứng dụng như WhatsApp để phát tán các liên kết lừa đảo theo kiểu giống sâu.

“Với chức năng này, phần mềm độc hại này có thể cung cấp [command-and-control server] Các nhà nghiên cứu cho biết thêm các chức năng “có thể được các tác nhân sử dụng để ký các giao dịch gian lận trên thiết bị của nạn nhân”.

Đây không phải là lần đầu tiên được phát hiện lan truyền bằng cách tạo trả lời tự động cho tin nhắn trong WhatsApp. Năm ngoái, ESET và Check Point Research đã phát hiện ra các ứng dụng giả mạo là Huawei Mobile và Netflix đã sử dụng cùng một phương thức để thực hiện các cuộc tấn công có thể sâu.

Các nhà nghiên cứu cho biết: “Ngày càng có nhiều diễn viên học theo thành công của Cabassous trong các chiến thuật phân phối, sử dụng các kỹ thuật giả dạng và sử dụng cùng một dịch vụ phân phối. “Đồng thời, Cabassous tiếp tục phát triển, giới thiệu các tính năng mới và thực hiện một bước nữa để có thể thực hiện gian lận trên thiết bị.”

Xem tiếp:   Chiến dịch đầu độc SEO mới Phân phối các phiên bản Trojanized của phần mềm phổ biến

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / tấn công mạng Hơn một …