Medusa e FluBot: due nuovi malware Android da evitare assolutamente

Due potenti malware Android condividono le stesse tattiche di infezione e la stessa infrastruttura di distribuzione. Tutto è stato documentato dai ricercatori di cybersecurity di ThreatFabric che hanno esaminato le campagne che coinvolgono il malware FluBot, noto anche come Cabassous, e un altro trojan bancario Android, chiamato Medusa.

FluBot è una delle forme più famose di malware Android: ruba le password e i dati bancari, oltre ad altre informazioni sensibili.

Ottiene inoltre l'accesso ai registri dei contatti per diffondersi ad altre vittime tramite messaggi SMS dannosi, che spesso sono progettati per sembrare un avviso di mancata consegna del pacco. FluBot è così prolifico che le agenzie nazionali di sicurezza informatica hanno emesso avvertimenti al riguardo.

Il successo di FluBot è stato notato anche da altri criminali informatici, e dopo poco anche quelli che stanno dietro Medusa hanno deciso di utilizzare le stesse metodologie.

Le campagne Medusa sono state viste utilizzando gli stessi nomi di app, nomi di pacchetti e icone simili utilizzati nelle campagne FluBot, inclusa una che fornisce collegamenti a malware nei messaggi che affermano di provenire da DHL.

Entrambe le app sono in continuo sviluppo

Ma le campagne Medusa non hanno solo lo stesso aspetto degli attacchi FluBot, ma vengono anche consegnate tramite lo stesso servizio di SMSishing. Il malware non è nuovo, è emerso per la prima volta nel 2020, ma l'adozione di nuove tattiche potrebbe vedere Medusa diventare una minaccia comune per gli utenti Android.

"Nonostante il fatto che Medusa non sia estremamente diffuso, vediamo un aumento del volume delle campagne", avvertono i ricercatori di ThreatFabric, mentre FluBot tende a colpire solo in Europa. Inizialmente il malware si concentrava sulla Turchia, ma ora si rivolge anche agli utenti del Nord America e dell'Europa.

"Potenziato con molteplici funzionalità di accesso remoto, Medusa rappresenta una minaccia fondamentale per le organizzazioni finanziarie in regioni mirate", hanno affermato i ricercatori. Tuttavia,  non significa che FluBot stia per diventare meno problematico. I ricercatori hanno fatto notare che i creatori del malware continuano ad aggiungere funzionalità aggiuntive, inclusa la possibilità di sostituire o interagire con le notifiche delle app.

Ciò consente agli aggressori di manipolare le applicazioni e di indirizzare gli utenti verso le app da cui vogliono rubare informazioni, come assumere il controllo delle app di messaggistica.