Zwei verschiedene Android-Bankentrojaner, FluBot und Medusa, nutzen dasselbe Übertragungsmedium für eine gleichzeitige Angriffskampagne, wie eine neue von ThreatFabric veröffentlichte Studie zeigt.
Die gleichzeitigen Infektionen, die durch dieselbe Smishing-Infrastruktur (SMS-Phishing) ermöglicht werden, beinhalten die überlappende Verwendung von „App-Namen, Paketnamen und ähnlichen Symbolen“, so das niederländische Unternehmen für mobile Sicherheit.
Medusa, das erstmals im Juli 2020 entdeckt wurde und auf türkische Finanzunternehmen abzielt, wurde mehrfach weiterentwickelt, vor allem um die Zugriffsrechte in Android zu missbrauchen und Gelder von Banking-Apps auf ein vom Angreifer kontrolliertes Konto abzuschöpfen.
„Medusa verfügt über weitere gefährliche Funktionen wie Keylogging, Protokollierung von Zugriffsereignissen und Audio- und Videostreaming – all diese Fähigkeiten ermöglichen den Angreifern einen fast vollständigen Zugriff auf das Gerät des Opfers“, so die Forscher.
Die mit Malware verseuchten Apps, die in Verbindung mit FluBot verwendet werden, tarnen sich als DHL- und Flash Player-Apps, um die Geräte zu infizieren. Darüber hinaus haben die jüngsten Angriffe von Medusa ihren Fokus über die Türkei hinaus auf Kanada und die USA ausgeweitet, wobei die Betreiber mehrere Botnetze für jede ihrer Kampagnen unterhalten.
FluBot (auch bekannt als Cabassous) hat seinerseits ein neuartiges Upgrade erhalten: die Fähigkeit, Benachrichtigungen von gezielten Anwendungen auf dem Android-Gerät eines Opfers abzufangen und potenziell zu manipulieren, indem er die Direktantwort-Aktion ausnutzt, sowie die automatische Beantwortung von Nachrichten von Apps wie WhatsApp, um Phishing-Links wurmartig zu verbreiten.
„Mit dieser Funktion ist die Malware in der Lage, von einem [Command-and-Control-Server] gelieferte Antworten auf Benachrichtigungen von Zielanwendungen auf dem Gerät des Opfers zu übermitteln“, so die Forscher und fügten hinzu, dass diese Funktion „von Akteuren genutzt werden kann, um im Namen des Opfers betrügerische Transaktionen zu unterzeichnen“.
Es ist nicht das erste Mal, dass sich Android-Malware durch automatische Antworten auf Nachrichten in WhatsApp verbreitet. Letztes Jahr haben ESET und Check Point Research betrügerische Apps aufgedeckt, die sich als Huawei Mobile und Netflix ausgaben und denselben Modus Operandi nutzten, um wurmfähige Angriffe durchzuführen.
„Immer mehr Akteure folgen Cabassous erfolgreicher Verbreitungstaktik, indem sie sich Maskerade-Techniken aneignen und denselben Verbreitungsdienst nutzen“, so die Forscher. „Gleichzeitig entwickelt sich Cabassous ständig weiter, führt neue Funktionen ein und macht einen weiteren Schritt in Richtung Betrug auf dem Gerät.