Android FluBot-infrastruktur bruges til at distribuere Medusa-malware
Sikkerhedsforskere advarer om, at den etablerede infrastruktur af den berygtede Android FluBot malware bliver brugt til at distribuere en ondsindet nyttelast, der går under navnet "Medusa".
Et team med det hollandske mobilsikkerhedsfirma ThreatFabric afslørede for nylig, at dårlige aktører bruger FluBots eksisterende phishing-sms-infrastruktur til at sprede en ny stamme af Android-malware kendt som Medusa. Kampagnen, der spreder Medusa, kører sideløbende med igangværende forsøg på at sprede FluBot .
FluBot - Gammel hund, nye tricks
Den mest almindelige måde, FluBot distribueres på, er phishing, men ved at bruge SMS i stedet for e-mails, da malwaren er rettet mod Android-mobilbrugere. SMS-beskederne bruger en simpel lokkemad - at få brugeren til at trykke på et link, der er indeholdt i en falsk "du gik glip af din kurerlevering"-meddelelse.
FluBot har en skræmmende række af muligheder, lige fra at gøre offer-enheden til en bot og tilføje den til det eksisterende netværk af zombie-enheder, til at stjæle bankoplysninger og forskellige login-legitimationsoplysninger fra den kompromitterede enhed. Når den er installeret, spammer FluBot-malwaren også den falske ondsindede SMS til alle kontakter, der findes på det oprindelige offers telefon, i et forsøg på at sprede infektionen yderligere og hurtigere.
ThreatFabric fandt ud af, at Medusa blev distribueret ved hjælp af de samme app- og pakkenavne som FluBot, og at sætte sig ind i en etableret og testet leveringsinfrastruktur gjorde det muligt for den nye malware at inficere omkring 1.500 telefoner, der modtog den sædvanlige falske "missed DHL delivery"-meddelelse.
Medusa er blevet set inficere ofre i Nordamerika og Europa, med tilfælde i Canada, USA og Tyrkiet. Oprindeligt forsøgte malwaren at målrette mod tyrkiske finansielle institutioner og organisationer, men flyttede senere mod vest og målrettede meget flere befolkningsgrupper og opstod hurtigt infektioner som et resultat.
Medusa og FluBot Forbedring
Medusa, der ligner FluBot, er i sit hjerte en mobilbanktrojaner, der også har spionagemuligheder. Malwaren misbruger Androids tilgængelighedstjeneste til at indstille værdien af en tekstboks til den streng, som malware-forfatterne ønsker. Det betyder, at grænsefladeboksen, der indeholder en bankoverførselsmodtagers konto, nemt kan skiftes til den konto, som hackerne har, og afsenderen bliver ikke desto klogere.
Selvom Medusa bliver distribueret gennem FluBots etablerede infrastruktur, udvikler FluBot sig også. En nylig opdatering tilføjede funktionalitet, der gør det muligt for malware at kapre svarene på push-meddelelser. Dette ekstra lag af ondsindede egenskaber kan tillade malware at forhindre korrekt brug af MFA på offerets enhed.