Android FluBot-infrastructuur die wordt gebruikt om Medusa-malware te verspreiden
Beveiligingsonderzoekers waarschuwen dat de gevestigde infrastructuur van de beruchte Android FluBot-malware wordt gebruikt om een kwaadaardige lading te verspreiden onder de naam "Medusa".
Een team met het Nederlandse mobiele beveiligingsbedrijf ThreatFabric heeft onlangs onthuld dat kwaadwillenden de bestaande phishing-sms-infrastructuur van FluBot gebruiken om een nieuwe variant van Android-malware, bekend als Medusa, te verspreiden. De campagne om Medusa te verspreiden loopt samen met voortdurende pogingen om FluBot te verspreiden.
FluBot - Oude hond, nieuwe trucs
De meest gebruikelijke manier waarop FluBot wordt verspreid, is phishing, maar met behulp van sms in plaats van e-mail, omdat de malware zich richt op mobiele Android-gebruikers. De sms-berichten gebruiken een eenvoudig lokaas - de gebruiker ertoe brengen op een link te tikken die is opgenomen in een nepbericht "u hebt uw koerierslevering gemist".
FluBot heeft een angstaanjagend scala aan mogelijkheden, variërend van het veranderen van het slachtofferapparaat in een bot en het toevoegen ervan aan het bestaande netwerk van zombieapparaten, tot het stelen van bankgegevens en verschillende inloggegevens van het gecompromitteerde apparaat. Eenmaal geïmplementeerd, spamt de FluBot-malware de valse kwaadaardige sms ook naar alle contacten op de telefoon van het oorspronkelijke slachtoffer, in een poging de infectie verder en sneller te verspreiden.
ThreatFabric ontdekte dat Medusa werd gedistribueerd met dezelfde app- en pakketnamen als FluBot. Door zich te vestigen in een gevestigde en geteste bezorginfrastructuur, kon de nieuwe malware ongeveer 1.500 telefoons infecteren die het gebruikelijke nepbericht "DHL-bezorging gemist" ontvingen.
Medusa is gespot bij het infecteren van slachtoffers in Noord-Amerika en Europa, met gevallen in Canada, de VS en Turkije. Aanvankelijk probeerde de malware Turkse financiële instellingen en organisaties aan te vallen, maar verhuisde later naar het westen, waarbij hij zich op veel meer bevolkingsgroepen richtte en als gevolg daarvan snel infecties opliep.
Medusa en FluBot verbeteren
Medusa, vergelijkbaar met FluBot, is in wezen een Trojaans paard voor mobiel bankieren dat ook spionagemogelijkheden heeft. De malware misbruikt de toegankelijkheidsservice van Android om de waarde van elk tekstvak in te stellen op de tekenreeks die de malware-auteurs willen. Dit betekent dat de interfacebox met de rekening van een ontvanger van een bankoverschrijving gemakkelijk kan worden omgeschakeld naar de rekening van de hackers en de afzender zal er niets wijzer van worden.
Hoewel Medusa wordt gedistribueerd via de bestaande infrastructuur van FluBot, evolueert FluBot ook. Een recente update heeft functionaliteit toegevoegd waarmee de malware de antwoorden op pushmeldingen kan kapen. Deze extra laag van kwaadaardige mogelijkheden kan de malware in staat stellen het juiste gebruik van MFA op het apparaat van het slachtoffer te voorkomen.