Android FluBot-infrastruktur som brukes til å distribuere Medusa-malware
Sikkerhetsforskere advarer om at den etablerte infrastrukturen til den beryktede Android FluBot malware blir brukt til å distribuere en ondsinnet nyttelast som går under navnet "Medusa".
Et team med det nederlandske mobilsikkerhetsselskapet ThreatFabric avslørte nylig at dårlige aktører bruker FluBots eksisterende phishing-SMS-infrastruktur for å spre en ny stamme av Android-malware kjent som Medusa. Kampanjen som sprer Medusa kjører sammen med pågående forsøk på å spre FluBot .
FluBot - Gammel hund, nye triks
Den vanligste måten FluBot distribueres på er phishing, men bruker SMS i stedet for e-post, da skadelig programvare retter seg mot Android-mobilbrukere. SMS-meldingene bruker et enkelt agn - å få brukeren til å trykke på en lenke som er inneholdt i en falsk "du gikk glipp av budleveringen din"-varslingsmelding.
FluBot har et skummelt utvalg av muligheter, alt fra å gjøre offerenheten om til en bot og legge den til det eksisterende nettverket av zombieenheter, til å stjele bankinformasjon og diverse påloggingsinformasjon fra den kompromitterte enheten. Når den er distribuert, spammer FluBot-malwaren også den falske ondsinnede SMS-en til alle kontakter som finnes på det opprinnelige offerets telefon, i et forsøk på å spre infeksjonen videre og raskere.
ThreatFabric fant ut at Medusa ble distribuert ved å bruke samme app- og pakkenavn som FluBot, og ved å sette seg inn i en etablert og testet leveringsinfrastruktur kunne den nye skadevare infisere rundt 1500 telefoner som mottok den vanlige falske "missed DHL delivery"-meldingen.
Medusa har blitt oppdaget smitte ofre i Nord-Amerika og Europa, med tilfeller i Canada, USA og Tyrkia. Til å begynne med forsøkte skadevaren å målrette tyrkiske finansinstitusjoner og organisasjoner, men flyttet senere mot vest, rettet mot mye flere populasjoner og fikk raskt opp infeksjoner som et resultat.
Medusa og FluBot forbedres
Medusa, i likhet med FluBot, er i sitt hjerte en mobilbanktrojaner som også har spioneringsevner. Skadevaren misbruker Androids tilgjengelighetstjeneste for å sette verdien av en tekstboks til den strengen skadevareforfatterne ønsker. Dette betyr at grensesnittboksen som inneholder kontoen til en bankoverføringsmottaker enkelt kan byttes til kontoen som hackerne har, og avsenderen vil ikke bli klokere.
Selv om Medusa distribueres gjennom FluBots etablerte infrastruktur, utvikler FluBot seg også. En nylig oppdatering la til funksjonalitet som gjør at skadelig programvare kan kapre svarene på push-varslinger. Dette ekstra laget med ondsinnede funksjoner kan tillate skadelig programvare å forhindre riktig bruk av MFA på offerets enhet.