Infrastruktura Android FluBot používaná k distribuci malwaru Medusa

Bezpečnostní výzkumníci varují, že zavedená infrastruktura nechvalně známého malwaru Android FluBot se používá k distribuci škodlivého nákladu pod názvem „Medusa“.

Tým s nizozemskou mobilní bezpečnostní společností ThreatFabric nedávno odhalil, že špatní herci využívají stávající infrastrukturu phishingových SMS společnosti FluBot k šíření nového kmene malwaru Android známého jako Medusa. Kampaň šířící Medusu probíhá souběžně s probíhajícími pokusy o šíření FluBot .

FluBot - starý pes, nové triky

Nejběžnějším způsobem distribuce FluBotu je phishing, ale místo e-mailů se používá SMS, protože malware cílí na uživatele mobilních zařízení Android. SMS zprávy používají jednoduchou návnadu – přimět uživatele, aby klepnul na odkaz, který je obsažen ve falešné zprávě s upozorněním „zmeškali jste doručení kurýrem“.

FluBot má děsivou škálu možností, od přeměny zařízení oběti na robota a jeho přidání do stávající sítě zombie zařízení až po krádež bankovních informací a různých přihlašovacích údajů z napadeného zařízení. Po nasazení malware FluBot také rozešle falešné škodlivé SMS všem kontaktům nalezeným v telefonu původní oběti ve snaze šířit infekci dále a rychleji.

ThreatFabric zjistil, že Medusa byla distribuována pomocí stejných názvů aplikací a balíčků jako FluBot a usazení se v zavedené a testované infrastruktuře doručování umožnilo novému malwaru infikovat přibližně 1500 telefonů, které obdržely obvyklou falešnou zprávu „zmeškané doručení DHL“.

Medusa byla spatřena při infikování obětí v Severní Americe a Evropě, s případy v Kanadě, USA a Turecku. Zpočátku se malware pokoušel zacílit na turecké finanční instituce a organizace, ale později se přesunul na západ, kde se zaměřoval na mnohem početnější populace a v důsledku toho rychle nasbíral infekce.

Medusa a FluBot se zlepšují

Medusa, podobně jako FluBot, je ve svém srdci trojan pro mobilní bankovnictví, který má také špionážní schopnosti. Malware zneužívá službu pro usnadnění přístupu Android k nastavení hodnoty libovolného textového pole na libovolný řetězec, který autoři malwaru chtějí. To znamená, že rozhraní obsahující účet příjemce bankovního převodu lze snadno přepnout na účet, který vlastní hackeři, a odesílatel nebude o nic moudřejší.

I když je Medusa distribuována prostřednictvím zavedené infrastruktury FluBot, FluBot se také vyvíjí. Nedávná aktualizace přidala funkci, která umožňuje malwaru unést odpovědi na oznámení push. Tato další vrstva škodlivých schopností může malwaru umožnit zabránit správnému použití MFA na zařízení oběti.