Neue Android-Malware Medusa kopiert Angriffstaktik von FluBot

Forscher des Cybersicherheitsanbieters ThreatFabric warnen vor zwei Malware-Kampagnen, die sich gegen Android-Nutzer richten. Ihnen zufolge folgt derzeit der Banking-Trojaner Medusa den Angriffstaktiken von FluBot, einem der am meisten verbreiteten Schadprogramme für Googles Mobilbetriebssystem.

FluBot ist vor allem für den Diebstahl von Passwörtern, Bankdaten und anderen vertraulichen Informationen von infizierten Smartphones bekannt. FluBot verbreitet sich zudem über schädliche SMS-Nachrichten. Zu diesem Zweck greift der Trojaner auf auch das Adressbuch eines Opfers zu, um sich selbst an dessen Kontakten zu verbreiten. Die Nachrichten wiederum sind als SMS von Logistikunternehmen getarnt, die über angebliche Probleme mit einer Paketsendung informieren.

Der Erfolg von FluBot wird laut ThreatFabric nun von Medusa kopiert. Medusa überwacht Tastatureingaben und erstellt Screenshots, um Daten über die Nutzung eines Smartphones zu sammeln. Neu ist, dass Medusa dieselben App-Namen, Paketnamen und Symbole nutzt, die von den Hintermännern von FluBot verwendet werden. Auch bei den schädlichen SMS setzt Medusa auf vermeintliche Absender wie DHL. Selbst den SMSishing-Service (SMS Phishing) für den Versand gefälschter Nachrichten teilt sich Medusa inzwischen mit FluBot.

“Obwohl Medusa derzeit noch nicht sehr weit verbreitet ist, sehen wir eine Zunahme des Kampagnenvolumens und eine größere Anzahl unterschiedlicher Kampagnen”, erklärten die Forscher von ThreatFabric.

Einen wichtigen Unterschied stellten die Forscher jedoch zwischen den beiden Trojanern fest. Während FluBot in erster Linie Opfer in Europa ins Visier nimmt, ist Medusa inzwischen in Europa und in Nordamerika aktiv. “Mit mehreren Fernzugriffsfunktionen ist Medusa eine kritische Bedrohung für Finanzinstitute in den fraglichen Regionen”, ergänzten die Forscher.

Die Gefahr durch FluBot stuft ThreatFabric ebenfalls als hoch ein. Die Entwickler erweiterten stetig den Funktionsumfang der Malware. Neu sei derzeit die Möglichkeit, App-Benachrichtigungen zu ersetzen oder mit ihnen zu interagieren. Ziel sei es, die Nutzung einer bestimmten App herbeizuführen oder bestimmte Anwendungen zu kontrollieren.

Um sich vor beiden Trojaner zu schützen, weist ThreatFabric darauf hin, dass bekannte Unternehmen niemals per SMS einen Link verschicken würden, um eine App herunterzuladen und auf einem Smartphone zu installieren. SMS-Nachrichten mit Links sollten stets mit Vorsicht behandelt werden.