【安全资讯】Medusa银行木马感染率上升

猎影实验室 2022-02-15 06:47:38 1427人浏览

引言

Medusa又名 TangleBot,是一种典型的安卓银行木马,此前主要针对北美和欧洲地区。近日,研究人员发现Medusa木马的感染率正在上升,该木马瞄准了更多地区,以窃取在线凭证或实施金融诈骗。

 

简况

MedusaBot 使用与 FluBot木马相同的服务来执行 smishing(SMS 网络钓鱼)活动。研究人员认为,Medusa的攻击者是在看到 FluBot 活动的广泛传播后,开始使用这种分发服务。Medusa 的主要优势在于利用了 Android 的“可访问性”脚本引擎,使攻击者能够像用户一样执行各种操作。

 

Medusa可执行的操作包括:

  • home_key:执行 HOME 操作
  • ges:在设备的屏幕上执行指定的手势
  • sleep:休眠(等待)指定的时间
  • recent_key:显示最近的应用程序的概述
  • scrshot_key:执行 TAKE_SCREENSHOT 操作
  • notification_key:打开活动通知
  • lock_key:锁定屏幕
  • back_key:执行 BACK 全局动作
  • text_click:点击显示指定文本的 UI 元素

 

ThreatFabric 能够访问恶意软件的后端管理面板,其攻击者可以编辑设备上运行的银行应用程序的任何字段。此功能允许恶意软件针对具有虚假网络钓鱼登录表单的银行平台,并窃取凭据。

 

该恶意软件通常通过欺骗性 DHL 或 Purolator 应用程序分发,研究人员还发现了伪装成 Android Update、Flash Player、Amazon Locker 和 Video Player 的软件包。欺诈性DHL APK如下图:

 

总结

总而言之,MedusaBot 是一款功能强大的银行木马,具有键盘记录功能、实时音频和视频流、远程命令执行等功能。

失陷指标(IOC)22
Medusa 银行木马 FluBot 金融
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。