Infrastruktura Android FluBot wykorzystywana do dystrybucji złośliwego oprogramowania Medusa

Badacze bezpieczeństwa ostrzegają, że ugruntowana infrastruktura niesławnego złośliwego oprogramowania Android FluBot jest wykorzystywana do rozpowszechniania szkodliwego ładunku o nazwie „Medusa”.

Zespół z holenderską firmą ThreatFabric zajmującą się bezpieczeństwem mobilnym ujawnił niedawno, że źli aktorzy wykorzystują istniejącą infrastrukturę SMS phishingową FluBot do rozprzestrzeniania nowego szczepu złośliwego oprogramowania na Androida znanego jako Medusa. Kampania rozpowszechniająca Meduzę przebiega równolegle z próbami rozpowszechniania FluBota.

FluBot - Stary pies, nowe sztuczki

Najczęstszym sposobem dystrybucji FluBot jest phishing, ale przy użyciu SMS-ów zamiast wiadomości e-mail, ponieważ szkodliwe oprogramowanie atakuje użytkowników urządzeń mobilnych z Androidem. Wiadomości SMS wykorzystują prostą przynętę – skłaniają użytkownika do kliknięcia łącza zawartego w fałszywym powiadomieniu „przegapiłeś przesyłkę kurierską”.

FluBot ma przerażający zakres możliwości, od przekształcenia urządzenia ofiary w bota i dodania go do istniejącej sieci urządzeń zombie, po kradzież informacji bankowych i różnych danych logowania z zaatakowanego urządzenia. Po wdrożeniu złośliwe oprogramowanie FluBot wysyła również spam fałszywymi złośliwymi wiadomościami SMS do wszystkich kontaktów znalezionych na telefonie ofiary, próbując dalej i szybciej rozprzestrzeniać infekcję.

ThreatFabric wykrył, że Medusa była dystrybuowana przy użyciu tych samych nazw aplikacji i pakietów co FluBot, a osiedlenie się w ustalonej i przetestowanej infrastrukturze dostarczania pozwoliło nowemu złośliwemu oprogramowaniu zainfekować około 1500 telefonów, które otrzymały zwykłą fałszywą wiadomość o „nieodebranej dostawie DHL”.

Meduza została zauważona zarażając ofiary w Ameryce Północnej i Europie, z przypadkami w Kanadzie, USA i Turcji. Początkowo złośliwe oprogramowanie próbowało atakować tureckie instytucje finansowe i organizacje, ale później przeniosło się na zachód, atakując znacznie liczniejsze populacje i w rezultacie szybko nabierając infekcji.

Ulepszanie Meduzy i FluBota

Medusa, podobnie jak FluBot, jest trojanem bankowości mobilnej, który ma również możliwości szpiegowania. Złośliwe oprogramowanie wykorzystuje usługę ułatwień dostępu Androida, aby ustawić wartość dowolnego pola tekstowego na dowolny ciąg znaków, którego chcą twórcy złośliwego oprogramowania. Oznacza to, że skrzynkę interfejsu zawierającą konto odbiorcy przelewu bankowego można łatwo przełączyć na konto hakera, a nadawca nie będzie mądrzejszy.

Mimo że Medusa jest dystrybuowana za pośrednictwem ustalonej infrastruktury FluBot, FluBot również ewoluuje. Niedawna aktualizacja dodała funkcję, która pozwala złośliwemu oprogramowaniu przejąć odpowiedzi na powiadomienia push. Ta dodatkowa warstwa złośliwych funkcji może umożliwić szkodliwemu oprogramowaniu uniemożliwienie prawidłowego użycia usługi MFA na zaatakowanym urządzeniu.