Infrastruktura Android FluBot përdoret për shpërndarjen e malware Medusa

Studiuesit e sigurisë po paralajmërojnë se infrastruktura e krijuar e malware famëkeq Android FluBot po përdoret për të shpërndarë një ngarkesë me qëllim të keq që shkon nën emrin "Medusa".

Një ekip me kompaninë holandeze të sigurisë celulare ThreatFabric zbuloi kohët e fundit se aktorët e këqij po përdorin infrastrukturën ekzistuese SMS të phishing të FluBot për të përhapur një lloj të ri malware Android të njohur si Medusa. Fushata që përhap Medusa po zhvillohet së bashku me përpjekjet e vazhdueshme për të përhapur FluBot .

FluBot - Qen i vjetër, truke të reja

Mënyra më e zakonshme e shpërndarjes së FluBot është phishing, por duke përdorur SMS në vend të emaileve, pasi malware synon përdoruesit e celularëve Android. Mesazhet SMS përdorin një karrem të thjeshtë - duke e bërë përdoruesin të trokasë një lidhje që gjendet në një mesazh të rremë njoftimi "ke humbur dorëzimin e korrierit".

FluBot ka një gamë të frikshme aftësish, duke filluar nga kthimi i pajisjes viktimë në një bot dhe shtimi i saj në rrjetin ekzistues të pajisjeve zombie, deri te vjedhja e informacionit bankar dhe kredencialeve të ndryshme të hyrjes nga pajisja e komprometuar. Pasi të vendoset, malware FluBot dërgon gjithashtu mesazhe të rreme me qëllim të keq në të gjitha kontaktet e gjetura në telefonin e viktimës origjinale, në një përpjekje për të përhapur infeksionin më tej dhe më shpejt.

ThreatFabric zbuloi se Medusa po shpërndahej duke përdorur të njëjtat emra aplikacionesh dhe paketash si FluBot dhe vendosja në një infrastrukturë të krijuar dhe të testuar shpërndarjeje lejoi që malware i ri të infektonte rreth 1500 telefona që merrnin mesazhin e zakonshëm të rremë "dorëzim i humbur DHL".

Medusa është parë duke infektuar viktima në Amerikën e Veriut dhe Evropë, me raste në Kanada, SHBA dhe Turqi. Fillimisht, malware u përpoq të synonte institucionet dhe organizatat financiare turke, por më vonë u zhvendos në perëndim, duke synuar popullsi shumë më të shumta dhe duke grumbulluar shpejt infeksione si rezultat.

Medusa dhe FluBot duke u përmirësuar

Medusa, e ngjashme me FluBot, është në zemër të saj një Trojan bankar celular që ka gjithashtu aftësi spiunazhi. Malware abuzon me Shërbimin e Aksesueshmërisë së Android për të vendosur vlerën e çdo kutie teksti në çfarëdo vargu që dëshirojnë autorët e malware. Kjo do të thotë se kutia e ndërfaqes që përmban llogarinë e një marrësi të transfertës bankare mund të kalohet lehtësisht në llogarinë e mbajtur nga hakerët dhe dërguesi nuk do të jetë aspak më i mençuri.

Edhe pse Medusa po shpërndahet përmes infrastrukturës së krijuar të FluBot, edhe FluBot po evoluon. Një përditësim i fundit shtoi funksionalitetin që lejon malware të rrëmbejë përgjigjet për të shtyrë njoftimet. Kjo shtresë shtesë e aftësive me qëllim të keq mund të lejojë që malware të parandalojë përdorimin e duhur të MFA në pajisjen viktimë.