Les chevaux de Troie Medusa et Flubot propagés via le même réseau d’attaques

Threat Fabric, une société néerlandaise de sécurité mobile, a lancé une étude sur deux chevaux de Troie bancaires pour Android appelés Flubot et Medusa. Selon les résultats de leurs recherches, ces deux virus informatiques se sont propagés via le même réseau dans le cadre d’une campagne d’attaques simultanées.

Ces infections groupées auraient été facilitées par la même infrastructure de smishing. Grâce à cette technique d’hameçonnage par SMS, les hackers ont concaténé des fichiers exécutables sous une icône connue pour propager le malware à un maximum de cibles.

Pirate informatique lançant une cyberattaque

Les pirates informatiques se sont donc fait passer pour une application ou un programme officiel dont ils ont détourné le nom et l’icône afin de tromper la méfiance des utilisateurs d’appareils Android.

Medusa donne un accès presque total à l’appareil de la victime

Le cheval de Troie Medusa a été identifié pour la première fois en juillet 2020. À cette époque, les attaques du Troyen ont ciblé les organisations financières turques. Ce rançongiciel a depuis subi plusieurs itérations. La principale consiste à abuser de permissions d’accessibilité sur des appareils Android afin de siphonner des comptes bancaires.

Medusa cache d’autres fonctionnalités encore plus dangereuses comme les keylogg ou enregistrement de frappe, le détournement des mots de passe ou le contrôle à distance du streaming audio et vidéo. Il a donné ainsi la possibilité aux malfaiteurs d’avoir un accès presque total aux appareils infectés.

Les attaques par Medusa se sont étendues à d’autres pays comme le Canada, les États-Unis où ils ont fait encore plus de dégâts, car les spammers ont exécuté plusieurs botnets au cours de leurs campagnes de cyberattaque.

Flubot a détourné des applications pour effectuer des transactions frauduleuses

Flubot quant à lui, a permis aux logiciels malveillants de se faire passer pour des applications connues comme DHL ou Flash Player. Une fois installé, ce RAT (remote administration tool) a permis aux hackers de répondre aux notifications des applications ciblées à la place des serveurs de commande de l’appareil infecté. Cette fonctionnalité leur a donné, par exemple, la possibilité de signer des transactions frauduleuses aux dépens de la victime.

Suite à une nouvelle mise à jour, ce trojan horse a été capable d’intercepter, puis de détourner les notifications d’application installées sur des appareils Android. Le programme est téléchargé dès que la victime répond aux messages infectés. Il a ensuite récupéré la liste des contacts de chaque victime pour diffuser des liens de phishing à travers des applications de messagerie comme WhatsApp.

Ce n’est pas la première fois qu’un malware Android s’est propagé en créant des réponses automatiques aux messages reçus par WhatsApp. L’année dernière, ESET et Check Point Research ont découvert des applications malveillantes se faisant passer pour Huawei Mobile et Netflix. De plus en plus de programmeurs utilisent le même modus operandi pour réaliser les attaques vermoulues. Parallèlement, Cabassous a continué d’évoluer et possède de nouvelles fonctionnalités.

SOURCE : THEHACKERNEWS

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.