Android FluBot -infrastruktuuri, jota käytetään Medusa-haittaohjelmien levittämiseen

Tietoturvatutkijat varoittavat, että surullisen kuuluisan Android FluBot -haittaohjelman vakiintunutta infrastruktuuria käytetään "Medusa" -nimisen haitallisen hyötykuorman levittämiseen.

Tiimi hollantilaisen mobiilitietoturvayhtiön ThreatFabricin kanssa paljasti äskettäin, että huonot toimijat käyttävät FluBotin olemassa olevaa tietojenkalastelutekstiviestiinfrastruktuuria levittääkseen uutta Medusa-nimistä Android-haittaohjelmaa. Medusaa levittävä kampanja on käynnissä FluBotin leviämisyritysten rinnalla.

FluBot - Vanha koira, uusia temppuja

Yleisin FluBot-jakelutapa on tietojenkalastelu, mutta tekstiviestien käyttö sähköpostien sijaan, koska haittaohjelma kohdistuu Android-mobiilikäyttäjiin. Tekstiviestit käyttävät yksinkertaista syöttiä – saada käyttäjä napauttamaan linkkiä, joka sisältyy väärennettyyn "menetit kuriiritoimituksen" -ilmoitusviestin.

FluBotilla on pelottavia ominaisuuksia, jotka vaihtelevat uhrin laitteen muuttamisesta robotiksi ja sen lisäämisestä olemassa olevaan zombie-laitteiden verkkoon pankkitietojen ja erilaisten kirjautumistietojen varastamiseen vaarantuneelta laitteelta. Kun FluBot-haittaohjelma on otettu käyttöön, se lähettää myös väärennetyt haitalliset tekstiviestit roskapostiksi kaikille alkuperäisen uhrin puhelimesta löytyneille yhteyshenkilöille, jotta tartuntaa voitaisiin levittää edelleen ja nopeammin.

ThreatFabric havaitsi, että Medusaa jaettiin samoilla sovelluksilla ja pakettinimillä kuin FluBot, ja vakiintuneen ja testatun toimitusinfrastruktuurin asettuminen mahdollisti uuden haittaohjelman tartunnan noin 1 500 puhelimeen, jotka saivat tavallisen väärennetyn "DHL-toimituksen väliin" -viestin.

Medusan on havaittu tartuttaneen uhreja Pohjois-Amerikassa ja Euroopassa, tapauksia Kanadassa, Yhdysvalloissa ja Turkissa. Aluksi haittaohjelma yritti kohdistaa turkkilaisia rahoituslaitoksia ja -organisaatioita, mutta siirtyi myöhemmin länteen, kohdistuen paljon useampaan väestöön ja kerääntyi sen seurauksena nopeasti tartuntoja.

Medusa ja FluBot parantavat

Medusa, samanlainen kuin FluBot, on pohjimmiltaan mobiilipankkitroijalainen, jolla on myös vakoilukyky. Haittaohjelma käyttää väärin Androidin saavutettavuuspalvelua asettaakseen minkä tahansa tekstikentän arvon haittaohjelman tekijöiden haluamalle merkkijonolle. Tämä tarkoittaa, että pankkisiirron vastaanottajan tilin sisältävä liitäntälaatikko voidaan helposti vaihtaa hakkereiden hallussa olevaan tiliin, eikä lähettäjä ole yhtään viisaampi.

Vaikka Medusaa jaetaan FluBotin vakiintuneen infrastruktuurin kautta, myös FluBot kehittyy. Äskettäin tehty päivitys lisäsi toiminnon, jonka avulla haittaohjelmat voivat kaapata push-ilmoitusten vastaukset. Tämä ylimääräinen haitallisten ominaisuuksien kerros voi antaa haittaohjelman estää MFA:n oikean käytön uhrilaitteessa.