Cybersicherheitsforscher haben identifiziert neue Phishing-Kampagnen, mit Verwendung von Banking-Malwareaktiv seit Juli 2023 und seine Tätigkeit bis heute ausbauenwurde diese Studie über fünf verschiedene Botnets durchgeführt, die von verschiedenen Cyberkriminellengruppen betrieben werden.
Die analysierten Stichproben konzentrieren sich auf Benutzer aus Kanada, Frankreich, Italien, SpanienTürkei, das Vereinigte Königreich und die Vereinigten Staaten.
Die neuen Proben von Qualle Sie verfügen über einen geringeren Satz an Berechtigungen und neue Funktionen, wie etwa die Möglichkeit, ein Vollbild-Overlay anzuzeigen und Apps aus der Ferne zu deinstallieren, erklärten die Sicherheitsforscher Simone Mattia und Federico Valentini, Mitglieder des Cybersicherheitsunternehmens Cleafy.
Medusa, auch bekannt als TangleBotist eine hochentwickelte Android-Malware, die erstmals im Juli 2020 entdeckt wurde und auf Finanzinstitute in der Türkei abzielt. Zu seinen Fähigkeiten gehören die derzeit üblichen Techniken zur Durchführung von Betrug mithilfe von Overlay-Angriffen, um Bankzugangsdaten zu stehlen. Im Februar 2022 entdeckte ThreatFabric Qualle das ähnliche Liefermechanismen wie die von verwendete FluBot (auch bekannt als Cabassous) und tarnt die Malware als scheinbar harmlose Paketzustellungs- und Hilfsanwendungen.
Die neueste Cleafy-Analyse zeigt nicht nur Verbesserungen bei Malware, sondern auch die Verwendung von Dropper-Anwendungen zur Verbreitung Qualle unter dem Deckmantel falscher Updates. Darüber hinaus können legitime Dienste wie Telegramm Und X Sie werden als Deadlock-Resolver verwendet, um den für die Datenexfiltration verwendeten Command-and-Control-Server (C2) wiederherzustellen.
Eine bemerkenswerte Änderung ist die Verringerung der Anzahl der beantragten Genehmigungen, offensichtlich in dem Bemühen, die Wahrscheinlichkeit einer Entdeckung zu verringern.. Allerdings ist weiterhin die Android Accessibility Services API erforderlich, sodass Sie bei Bedarf verdeckt andere Berechtigungen aktivieren und vermeiden können, bei Benutzern Verdacht zu erregen.
Eine weitere Modifikation ist die Möglichkeit, auf dem Gerät des Opfers einen schwarzen Bildschirm einzublenden, um den Eindruck zu erwecken, dass das Gerät gesperrt oder ausgeschaltet ist, und dies als Tarnung für böswillige Aktivitäten zu nutzen.
Botnet-Cluster Qualle Zur Verbreitung von Schadsoftware greifen sie häufig auf bewährte Ansätze wie Phishing zurück. Es wurden jedoch neue Wellen der Verbreitung über Dropper-Apps beobachtet, die von nicht vertrauenswürdigen Quellen heruntergeladen wurden, was die anhaltenden Bemühungen der Bedrohungsakteure unterstreicht, ihre Taktiken weiterzuentwickeln.
„Die Minimierung der erforderlichen Berechtigungen entgeht der Entdeckung und erscheint harmloser, was Ihre Fähigkeit verbessert, über längere Zeiträume unentdeckt zu agieren.“
„Geografisch gesehen breitet sich die Malware in neue Regionen wie Italien und Frankreich aus, was auf eine bewusste Anstrengung hindeutet, den Opferpool zu diversifizieren und die Angriffsfläche zu vergrößern.“Die Forscher stellten fest.
Zu dieser Entwicklung kam es, als Symantec bekannt gab, dass gefälschte Browser-Updates verwendet werden Chrome für Android als Lockvogel für den Einsatz des Banking-Trojaners Cerberus. Ähnliche Kampagnen wurden auch beobachtet, bei denen gefälschte Telegram-Apps über betrügerische Websites verbreitet wurden und andere Android-Malware namens „ SpyMax.
«SpyMax „Es handelt sich um ein Remote Administration Tool (RAT), das in der Lage ist, ohne Zustimmung des Benutzers persönliche/private Informationen vom infizierten Gerät zu sammeln und diese an einen Remote-Bedrohungsakteur zu senden.“ „Dadurch können Bedrohungsakteure die Geräte der Opfer kontrollieren und so die Vertraulichkeit und Integrität der Privatsphäre und Daten des Opfers beeinträchtigen.“
sagte K7 Security Labs.
Nach der Installation fordert die App den Benutzer auf, Eingabehilfen zu aktivieren, sodass Tastenanschläge, genaue Standorte und sogar die Geschwindigkeit, mit der das Gerät bewegt wird, erfasst werden können. Die gesammelten Informationen werden komprimiert und an einen verschlüsselten C2-Server exportiert.
Mehr Informationen:
Medusa Reborn: Eine neue kompakte Variante entdeckt https://www.cleafy.com/cleafy-labs/medusa-reborn-a-new-compact-variant-discovered
ThreatFabric-Beitrag https://x.com/ThreatFabric/status/1285144962695340032
Neuer Android-Trojaner Medusa zielt auf Bankbenutzer in 7 Ländern ab https://thehackernews.com/2024/06/new-medusa-android-trojan-targets.html
SpyMax – Ein Android-RAT zielt auf Telegram-Benutzer ab https://labs.k7computing.com/index.php/spymax-an-android-rat-targets-telegram-users/
Koodous-Beitrag https://x.com/koodous_project/status/1806695569932365902
Koodous-Analyse https://koodous.com/apks/676024a745fac0396a2e9fadf046a5c7f3548bd801e5f3d7030adf5f0596bcd7/general-information
Koodous-Analyse https://koodous.com/apks/80852bf1df63b18b6845e0d4f703a1a0cb3360669dc31c9c04718e93591be865/general-information
Über Hispasec
Hispasec hat 7057 Publikationen verfasst.
