Инфраструктура на Android FluBot, използвана за разпространение на зловреден софтуер Medusa

Изследователите по сигурността предупреждават, че изградената инфраструктура на прословутия Android FluBot злонамерен софтуер се използва за разпространение на зловреден полезен товар под името "Medusa".

Екип на холандската компания за мобилна сигурност ThreatFabric наскоро разкри, че лошите участници използват съществуващата фишинг SMS инфраструктура на FluBot, за да разпространяват нов щам зловреден софтуер за Android, известен като Medusa. Кампанията за разпространение на Medusa протича успоредно с продължаващите опити за разпространение на FluBot .

FluBot - старо куче, нови трикове

Най-разпространеният начин на разпространение на FluBot е фишинг, но чрез използване на SMS вместо имейли, тъй като злонамереният софтуер е насочен към потребителите на мобилни устройства с Android. SMS съобщенията използват проста стръв - карат потребителя да докосне връзка, която се съдържа във фалшиво уведомително съобщение „пропуснахте куриерската си доставка“.

FluBot има страшна гама от възможности, вариращи от превръщане на жертвата в бот и добавянето му към съществуващата мрежа от зомбита устройства, до кражба на банкова информация и различни идентификационни данни за вход от компрометираното устройство. Веднъж разгърнат, зловредният софтуер FluBot също изпраща спам фалшивите злонамерени SMS до всички контакти, открити в телефона на оригиналната жертва, в опит да разпространи инфекцията по-нататък и по-бързо.

ThreatFabric установи, че Medusa се разпространява с помощта на същите имена на приложения и пакети като FluBot и установяване в установена и тествана инфраструктура за доставка позволи на новия зловреден софтуер да зарази около 1500 телефона, които получиха обичайното фалшиво съобщение „пропусната доставка на DHL“.

Медуза е забелязана да заразява жертви в Северна Америка и Европа, със случаи в Канада, САЩ и Турция. Първоначално злонамереният софтуер се опита да се насочи към турски финансови институции и организации, но по-късно се прехвърли на запад, като се насочи към много по-многобройни популации и в резултат бързо натрупа инфекции.

Подобряване на Medusa и FluBot

Medusa, подобно на FluBot, е в основата си троянски кон за мобилно банкиране, който също има възможности за шпиониране. Зловредният софтуер злоупотребява с услугата за достъпност на Android, за да зададе стойността на всяко текстово поле на какъвто низ искат авторите на зловреден софтуер. Това означава, че интерфейсната кутия, съдържаща сметката на получател на банков превод, може лесно да бъде превключена към сметката, държана от хакерите и подателят няма да бъде по-мъдър.

Въпреки че Medusa се разпространява чрез изградената инфраструктура на FluBot, FluBot също се развива. Скорошна актуализация добави функционалност, която позволява на злонамерения софтуер да отвлича отговорите на push известия. Този допълнителен слой от злонамерени възможности може да позволи на злонамерения софтуер да предотврати правилното използване на MFA на устройството жертва.