【安全资讯】Medusa银行木马感染率上升

引言

Medusa又名 TangleBot，是一种典型的安卓银行木马，此前主要针对北美和欧洲地区。近日，研究人员发现Medusa木马的感染率正在上升，该木马瞄准了更多地区，以窃取在线凭证或实施金融诈骗。

简况

MedusaBot 使用与 FluBot木马相同的服务来执行 smishing（SMS 网络钓鱼）活动。研究人员认为，Medusa的攻击者是在看到 FluBot 活动的广泛传播后，开始使用这种分发服务。Medusa 的主要优势在于利用了 Android 的“可访问性”脚本引擎，使攻击者能够像用户一样执行各种操作。

Medusa可执行的操作包括：

• home_key：执行 HOME 操作
• ges：在设备的屏幕上执行指定的手势
• sleep：休眠（等待）指定的时间
• recent_key：显示最近的应用程序的概述
• scrshot_key：执行 TAKE_SCREENSHOT 操作
• notification_key：打开活动通知
• lock_key：锁定屏幕
• back_key：执行 BACK 全局动作
• text_click：点击显示指定文本的 UI 元素

ThreatFabric 能够访问恶意软件的后端管理面板，其攻击者可以编辑设备上运行的银行应用程序的任何字段。此功能允许恶意软件针对具有虚假网络钓鱼登录表单的银行平台，并窃取凭据。

该恶意软件通常通过欺骗性 DHL 或 Purolator 应用程序分发，研究人员还发现了伪装成 Android Update、Flash Player、Amazon Locker 和 Video Player 的软件包。欺诈性DHL APK如下图：

总结

总而言之，MedusaBot 是一款功能强大的银行木马，具有键盘记录功能、实时音频和视频流、远程命令执行等功能。