Medusa 멀웨어를 배포하는 데 사용되는 Android FluBot 인프라

보안 연구원들은 악명 높은 Android FluBot 악성코드의 기존 인프라가 "Medusa"라는 이름의 악성 페이로드를 배포하는 데 사용되고 있다고 경고합니다.

네덜란드 모바일 보안 회사인 ThreatFabric의 팀은 최근 악의적인 행위자들이 FluBot의 기존 피싱 SMS 인프라를 사용하여 Medusa로 알려진 새로운 종류의 Android 멀웨어를 전파하고 있다고 밝혔습니다. Medusa를 퍼뜨리는 캠페인은 FluBot 을 퍼뜨리려는 지속적인 시도와 함께 실행되고 있습니다.

FluBot - 오래된 개, 새로운 트릭

FluBot이 배포되는 가장 일반적인 방법은 피싱이지만 악성 코드가 Android 모바일 사용자를 대상으로 하기 때문에 이메일 대신 SMS를 사용합니다. SMS 메시지는 간단한 미끼를 사용 하여 사용자가 가짜 "택배 배달을 놓쳤습니다" 알림 메시지에 포함된 링크를 탭하도록 합니다.

FluBot은 피해자 장치를 봇으로 전환하고 기존 좀비 장치 네트워크에 추가하는 것부터 감염된 장치에서 은행 정보 및 다양한 로그인 자격 증명을 훔치는 것에 이르기까지 무서운 범위의 기능을 가지고 있습니다. FluBot 맬웨어는 일단 배포되면 감염을 더 빠르고 빠르게 전파하기 위해 원래 피해자의 전화에서 발견된 모든 연락처에 가짜 악성 SMS를 스팸으로 보냅니다.

ThreatFabric은 Medusa가 FluBot과 동일한 앱 및 패키지 이름을 사용하여 배포되고 있으며 확립되고 테스트된 배달 인프라에 정착하여 새로운 악성코드가 일반적인 가짜 "DHL 배달을 놓쳤습니다" 메시지를 수신한 약 1,500개의 전화를 감염시킬 수 있음을 발견했습니다.

Medusa는 북미와 유럽에서 희생자를 감염시키는 것으로 나타났으며 캐나다, 미국 및 터키에서 사례가 발생했습니다. 처음에 이 맬웨어는 터키 금융 기관 및 조직을 대상으로 시도했지만 나중에 서쪽으로 이동하여 훨씬 더 많은 인구를 대상으로 하고 결과적으로 빠르게 감염을 증가시켰습니다.

Medusa 및 FluBot 개선

FluBot과 유사한 Medusa는 그 중심에 스파이 기능이 있는 모바일 뱅킹 트로이목마가 있습니다. 맬웨어는 Android의 접근성 서비스를 악용하여 텍스트 상자의 값을 맬웨어 작성자가 원하는 문자열로 설정합니다. 이것은 은행 송금 수취인의 계정이 포함된 인터페이스 상자가 해커가 보유한 계정으로 쉽게 전환될 수 있고 보낸 사람이 더 현명하지 않다는 것을 의미합니다.

Medusa는 FluBot의 기존 인프라를 통해 배포되고 있지만 FluBot도 진화하고 있습니다. 최근 업데이트에는 맬웨어가 푸시 알림에 대한 답장을 가로챌 수 있는 기능이 추가되었습니다. 악성 기능의 이 추가 계층을 통해 맬웨어가 피해자 장치에서 MFA를 적절하게 사용하지 못하게 할 수 있습니다.