Infrastruktura Android FluBot, ki se uporablja za distribucijo zlonamerne programske opreme Medusa

Varnostni raziskovalci opozarjajo, da se uveljavljena infrastruktura zloglasne zlonamerne programske opreme Android FluBot uporablja za distribucijo zlonamernega tovora pod imenom "Medusa".

Ekipa nizozemskega podjetja za mobilno varnost ThreatFabric je pred kratkim razkrila, da slabi akterji uporabljajo obstoječo infrastrukturo SMS za lažno predstavljanje FluBot za širjenje nove vrste zlonamerne programske opreme za Android, znane kot Medusa. Kampanja za širjenje Meduze poteka skupaj z nenehnimi poskusi širjenja FluBota .

FluBot - stari pes, novi triki

Najpogostejši način distribucije FluBota je lažno predstavljanje, vendar z uporabo SMS namesto e-pošte, saj je zlonamerna programska oprema namenjena uporabnikom mobilnih telefonov Android. Sporočila SMS uporabljajo preprosto vabo - uporabnika prepričajo, da se dotakne povezave, ki je vsebovana v ponarejenem sporočilu z obvestilom "zamudil si dostavo s kurirsko službo".

FluBot ima strašljiv nabor zmožnosti, ki sega od spreminjanja naprave žrtve v bota in dodajanja v obstoječo mrežo zombi naprav, do kraje bančnih podatkov in različnih poverilnic za prijavo iz ogrožene naprave. Ko je zlonamerna programska oprema FluBot nameščena, tudi pošilja neželeno ponarejeno zlonamerno sporočilo SMS vsem stikom, najdenim v telefonu prvotne žrtve, s čimer poskuša okužbo širiti naprej in hitreje.

ThreatFabric je ugotovil, da se Medusa distribuira z istimi imeni aplikacij in paketov kot FluBot, in namestitev v uveljavljeno in preizkušeno infrastrukturo za dostavo je omogočila, da je nova zlonamerna programska oprema okužila okoli 1500 telefonov, ki so prejeli običajno lažno sporočilo »zgrešena dostava DHL«.

Meduzo so opazili pri okužbi žrtev v Severni Ameriki in Evropi, primeri pa so bili v Kanadi, ZDA in Turčiji. Sprva je zlonamerna programska oprema poskušala ciljati na turške finančne institucije in organizacije, kasneje pa se je premaknila na zahod, ciljala na veliko številčnejšo populacijo in posledično hitro nabirala okužbe.

Medusa in FluBot Izboljšanje

Medusa, podobno kot FluBot, je v svojem srcu trojanec mobilnega bančništva, ki ima tudi zmožnosti vohunjenja. Zlonamerna programska oprema zlorablja Androidovo storitev dostopnosti, da nastavi vrednost katerega koli besedilnega polja na poljuben niz, ki ga avtorji zlonamerne programske opreme želijo. To pomeni, da bi lahko vmesniško polje, ki vsebuje račun prejemnika bančnega nakazila, preprosto preklopili na račun, ki ga imajo hekerji, in pošiljatelj ne bo nič pametnejši.

Čeprav se Medusa distribuira prek uveljavljene infrastrukture FluBot, se FluBot tudi razvija. Nedavna posodobitev je dodala funkcionalnost, ki zlonamerni programski opremi omogoča, da ugrabi odgovore na potisna obvestila. Ta dodatna plast zlonamernih zmogljivosti lahko omogoči zlonamerni programski opremi, da prepreči pravilno uporabo MFA na napravi žrtve.