Инфраструктура Android FluBot используется для распространения вредоносного ПО Medusa

Исследователи безопасности предупреждают, что установленная инфраструктура печально известного вредоносного ПО Android FluBot используется для распространения вредоносной полезной нагрузки под названием «Медуза».

Команда голландской компании ThreatFabric, занимающейся безопасностью мобильных устройств, недавно обнаружила, что злоумышленники используют существующую инфраструктуру фишинговых SMS-сообщений FluBot для распространения нового штамма вредоносного ПО для Android, известного как Medusa. Кампания по распространению «Медузы» ведется одновременно с продолжающимися попытками распространения FluBot .

FluBot - Старый пёс, новые трюки

Наиболее распространенным способом распространения FluBot является фишинг, но с использованием SMS вместо электронной почты, поскольку вредоносное ПО нацелено на пользователей мобильных устройств Android. В SMS-сообщениях используется простая приманка : пользователь нажимает на ссылку, содержащуюся в поддельном уведомлении «вы пропустили курьерскую доставку».

FluBot обладает пугающим набором возможностей: от превращения устройства-жертвы в бота и добавления его в существующую сеть устройств-зомби до кражи банковской информации и различных учетных данных для входа со взломанного устройства. После развертывания вредоносное ПО FluBot также рассылает поддельные вредоносные SMS-сообщения всем контактам, найденным на телефоне исходной жертвы, в попытке распространить инфекцию дальше и быстрее.

ThreatFabric обнаружила, что Medusa распространяется с использованием тех же имен приложений и пакетов, что и FluBot, а размещение в установленной и проверенной инфраструктуре доставки позволило новой вредоносной программе заразить около 1500 телефонов, которые получили обычное поддельное сообщение «о пропущенной доставке DHL».

Медуза была замечена в заражении жертв в Северной Америке и Европе, а также в Канаде, США и Турции. Первоначально вредоносное ПО пыталось атаковать турецкие финансовые учреждения и организации, но позже переместилось на запад, нацелившись на гораздо более многочисленные группы населения и в результате быстро заразившись.

Medusa и FluBot улучшаются

Medusa, как и FluBot, по своей сути является мобильным банковским троянцем, который также имеет шпионские возможности. Вредоносное ПО злоупотребляет службой специальных возможностей Android, чтобы установить значение любого текстового поля в любую строку, которую хотят авторы вредоносного ПО. Это означает, что окно интерфейса, содержащее учетную запись получателя банковского перевода, может быть легко переключено на учетную запись, принадлежащую хакерам, и отправитель ничего не узнает.

Несмотря на то, что Medusa распространяется через установленную инфраструктуру FluBot, FluBot также развивается. Недавнее обновление добавило функциональность, которая позволяет вредоносным программам перехватывать ответы на push-уведомления. Этот дополнительный уровень вредоносных возможностей может позволить вредоносным программам предотвратить надлежащее использование MFA на устройстве-жертве.