正所謂有錢齊齊搵,部分網絡犯罪集團都唔介意共用網絡攻擊資源,最新合作嘅係 FluBot 及 Medusa 兩隻 Android銀行木馬 程式,荷蘭網絡安全公司 ThreatFabric 研究員指出兩個集團唔單只採用相同嘅 SMishing(SMS phishing)感染渠道,就連假扮成正版軟件嘅名、安裝套件及 icon 亦一模一樣,估計雙方正在共有資源。
近年有部分網絡犯罪集團都有進行合作,例如木馬程式 Trickbot 就曾夥拍多個犯罪集團,包括行家 Emotet,以及勒索軟件集團 Ryuk、Conti 及 Diavol 等等,特別係 Emotet 自從被國際刑警搗破後,喺上年 11 月回歸時更倚賴 Trickbot 嘅感染渠道重生,可見集團與集團之間並唔係完全互相排斥。ThreatFabric 研究員喺最新發表嘅研究報告就提到,有跡象顯示 FluBot 及 Medusa 亦開始合作,利用相同技術及方法感染 Android 手機用戶,例如假扮成 DHL 或 Flash Player 應用軟件或更新檔等,只要用戶稍一不慎賦允所要求嘅安裝權限,手機內嘅私隱便會失守。
Android銀行木馬演進
睇返兩隻木馬病毒嘅往績,FluBot 係近年一隻比較積極嘅木馬病毒,佢嘅功能不斷演進,其中一個厲害嘅地方係佢可以攔截及修改用戶收到嘅通知訊息,並善用所取得嘅自動回覆權限,將惡意連結經用戶嘅 WhatsApp 發送至聯絡清單上嘅親友,擴大感染範圍。
而 Medusa 於 2020 年 7 月首次被發現針對土耳其金融機構攻擊,現時 Medusa 嘅業務更拓展至加拿大及美國。喺病毒成功入侵手機後,佢會濫於所取得嘅應用權限,進行鍵盤記錄、存取事件記錄、拍片收音等功能,同時更可暗中進行金錢轉帳。而喺共用資源後,兩者嘅攻擊特性似乎未有互相取長補短,純粹係 Medusa 借用 FluBot 感染途徑,不過最終仲會有乜動作,就要留意日後發展。
