Infraestrutura do FluBot Android Usada para Distribuir o Malware Medusa
Os pesquisadores de segurança estão alertando que a infraestrutura estabelecida do infame malware Android FluBot está sendo usada para distribuir uma carga maliciosa sob o nome de "Medusa".
Uma equipe da empresa holandesa de segurança móvel ThreatFabric revelou recentemente que os malfeitores estão usando a infraestrutura SMS de phishing existente no FluBot para espalhar uma nova variedade de malware para o Android, conhecida como Medusa. A campanha de divulgação do Medusa está em andamento junto com tentativas contínuas de divulgação do FluBot.
FluBot - Cão Velho, Truques Novos
A maneira mais comum de distribuição do FluBot é o phishing, mas usando SMS em vez de e-mails, pois o malware tem como alvo os usuários dos dispositivos móveis Android. As mensagens SMS usam uma isca simples - fazendo com que o usuário toque em um link contido em uma falsa mensagem de notificação "você perdeu sua entrega do correio".
O FluBot tem uma gama assustadora de recursos, desde transformar o dispositivo da vítima em um bot e adicioná-lo à rede existente de dispositivos zumbis, até roubar informações bancárias e várias credenciais de login do dispositivo comprometido. Uma vez implantado, o malware FluBot também envia o SMS malicioso falso para todos os contatos encontrados no telefone da vítima original, na tentativa de propagar a infecção ainda mais e mais rapidamente.
O ThreatFabric descobriu que o Medusa estava sendo distribuído usando os mesmos nomes de aplicativos e pacotes do FluBot e se instalando em uma infraestrutura de entrega estabelecida e testada, permitiu que o novo malware infectasse cerca de 1.500 telefones que receberam a mensagem falsa usual de "entrega DHL perdida".
O Medusa foi flagrado infectando vítimas na América do Norte e na Europa, com casos no Canadá, EUA e Turquia. Inicialmente, o malware tentou atingir instituições e organizações financeiras turcas, mas depois mudou-se para o oeste, visando populações muito mais numerosas e rapidamente acumulando infecções como resultado.
A Melhoria do Medusa e do FluBot
O Medusa, semelhante ao FluBot, é um Trojan bancário para celular, que também possui recursos de espionagem. O malware abusa do Serviço de Acessibilidade do Android para definir o valor de qualquer caixa de texto para qualquer string que os autores do malware desejem. Isso significa que a caixa de interface que contém a conta de um destinatário de transferência bancária pode ser facilmente alterada para a conta mantida pelos hackers e o remetente não saberá.
Embora o Medusa esteja sendo distribuído por meio da infraestrutura estabelecida do FluBot, o FluBot também está evoluindo. Uma atualização recente adicionou uma funcionalidade que permite que o malware sequestre as respostas para notificações. Essa camada extra de recursos maliciosos pode permitir que o malware impeça o uso adequado da MFA no dispositivo da vítima.