Infrastruttura Android FluBot utilizzata per distribuire il malware Medusa
I ricercatori di sicurezza avvertono che l'infrastruttura consolidata del famigerato malware Android FluBot viene utilizzata per distribuire un payload dannoso chiamato "Medusa".
Un team con la società di sicurezza mobile olandese ThreatFabric ha recentemente rivelato che i malintenzionati stanno utilizzando l'infrastruttura SMS di phishing esistente di FluBot per diffondere un nuovo ceppo di malware Android noto come Medusa. La campagna di diffusione di Medusa è in corso insieme ai tentativi in corso di diffusione di FluBot.
FluBot - Vecchio cane, nuovi trucchi
Il modo più comune in cui FluBot viene distribuito è il phishing, ma utilizzando SMS anziché e-mail, poiché il malware prende di mira gli utenti mobili Android. I messaggi SMS utilizzano una semplice esca: convincere l'utente a toccare un collegamento contenuto in un falso messaggio di notifica "hai perso la consegna del corriere".
FluBot ha una gamma spaventosa di funzionalità, che vanno dal trasformare il dispositivo vittima in un bot e aggiungerlo alla rete esistente di dispositivi zombie, al furto di informazioni bancarie e varie credenziali di accesso dal dispositivo compromesso. Una volta distribuito, il malware FluBot invia anche spam agli SMS dannosi falsi a tutti i contatti trovati sul telefono della vittima originale, nel tentativo di propagare l'infezione ulteriormente e più velocemente.
ThreatFabric ha scoperto che Medusa veniva distribuito utilizzando gli stessi nomi di app e pacchetti di FluBot e l'insediamento in un'infrastruttura di consegna consolidata e testata ha consentito al nuovo malware di infettare circa 1.500 telefoni che hanno ricevuto il solito falso messaggio di "consegna DHL mancata".
Medusa è stata avvistata mentre infettava vittime in Nord America e in Europa, con casi in Canada, Stati Uniti e Turchia. Inizialmente, il malware ha tentato di colpire le istituzioni e le organizzazioni finanziarie turche, ma in seguito si è spostato a ovest, prendendo di mira popolazioni molto più numerose e di conseguenza accumulando rapidamente infezioni.
Miglioramento di Medusa e FluBot
Medusa, simile a FluBot, è un Trojan di mobile banking che ha anche capacità di spionaggio. Il malware abusa del servizio di accessibilità di Android per impostare il valore di qualsiasi casella di testo sulla stringa desiderata dagli autori del malware. Ciò significa che la casella dell'interfaccia contenente l'account di un destinatario del bonifico bancario potrebbe essere facilmente cambiata nell'account detenuto dagli hacker e il mittente non sarà più saggio.
Anche se Medusa viene distribuito attraverso l'infrastruttura consolidata di FluBot, anche FluBot si sta evolvendo. Un recente aggiornamento ha aggiunto una funzionalità che consente al malware di dirottare le risposte alle notifiche push. Questo ulteriore livello di funzionalità dannose può consentire al malware di impedire l'uso corretto dell'AMF sul dispositivo della vittima.