Medusa Android Banking特洛伊木马通过Flubot的攻击网络传播

ThreatFabric发布的最新研究显示，作为同步攻击活动的一部分，两个不同的Android银行特洛伊木马程序FluBot和Medusa正在依赖同一个传送工具。

这家荷兰移动安全公司表示，通过相同的smishing（短信钓鱼）基础设施，正在进行的并行感染涉及“应用程序名、软件包名和类似图标”的重叠使用。

Medusa于2020年7月首次被发现针对土耳其金融机构，它经历了多次迭代，其中最主要的是能够滥用Android中的访问权限，将银行应用程序中的资金转移到攻击者控制的帐户。

研究人员说：“美杜莎还具有其他危险的功能，比如键盘记录、可访问性事件记录、音频和视频流等；所有这些功能都让演员几乎可以完全访问受害者的设备。”。

与FluBot一起使用的恶意软件应用伪装成DHL和Flash Player应用，感染设备。此外，最近涉及美杜莎的攻击已将其重点扩展到土耳其以外的地区，包括加拿大和美国，运营商为其每次活动维护多个僵尸网络。

FluBot（又名Cabassus）本身也得到了一个全新的升级：通过利用直接回复操作，拦截并可能操纵受害者安卓设备上目标应用程序的通知，同时自动回复WhatsApp等应用程序的消息，以类似蠕虫的方式传播钓鱼链接。

研究人员说：“有了这一功能，该恶意软件能够提供[命令和控制服务器]提供的响应，以响应受害者设备上目标应用程序的通知。”研究人员补充说，该功能“可供参与者代表受害者签署欺诈交易。”

这已经不是第一次发现Android恶意软件通过WhatsApp中的自动回复消息来传播。去年，ESET和Check Point Research发现了冒充华为移动和Netflix的流氓应用程序，它们采用了相同的手法来执行可攻击的攻击。

研究人员说：“越来越多的演员效仿卡巴索斯在分销策略、使用伪装技术和使用相同的分销服务方面取得的成功。”。“与此同时，卡巴索斯不断发展，推出新功能，朝着能够执行设备欺诈迈出了新的一步。”