1700 zainfekowanych telefonów z Androidem. Wystarczył niecały miesiąc

Medusa to kolejny trojan bankowy na Androida, który zyskuje popularność. Jak wynika z analiz, w dużej mierze działa analogicznie do oprogramowania FluBot, a skuteczne kampanie pozwoliły atakującym dotrzeć do ponad 1700 telefonów w niecały miesiąc.

Medusa opisywana jest przez zespół analityków z ThreatFabric jako oprogramowanie podobne do trojana FluBot, ale co do zasady tożsame z TangleBot (mimo, że niektórzy twierdzą, że są to dwie różne rodziny). Pierwsze przypadki infekcji zostały zidentyfikowane jeszcze w 2020 roku, ale po najnowszych aktualizacjach oprogramowanie zyskało dodatkowe opcje i ponownie może być poważnym zagrożeniem.

Ciekawostką stosowaną przez atakujących od stycznia 2022 roku jest wykorzystanie mechanizmu automatycznego odpowiadania na powiadomienia push w Androidzie. Dzięki manipulacji kodem, trojan jest w stanie zmieniać treść powiadomień bez wiedzy użytkownika, a w praktyce nawet na nie odpowiadać. Możliwy scenariusz to na przykład udostępnianie w imieniu użytkownika linków phishingowych przez social media (w ramach odpowiedzi na wyskakujące powiadomienie z aplikacji).

Na tę chwilę pisze się o realnym zagrożeniu jedynie za granicą, a jako przykład podaje kampanię FLUDHL, w ramach której w 24 dni udało się zainfekować przeszło 1700 telefonów. Równolegle prowadzonych kampanii jest jednak więcej, a pojawienie się zagrożenia także w Polsce - zapewne tylko kwestią czasu. Niedawno analogiczne rozszerzenie zasięgu ataków obserwowaliśmy na przykładzie trojana bankowego BRATA.