Android FluBot-infrastruktur som används för att distribuera Medusa Malware
Säkerhetsforskare varnar för att den etablerade infrastrukturen för den ökända Android FluBot malware används för att distribuera en skadlig nyttolast som går under namnet "Medusa".
Ett team med det holländska mobilsäkerhetsföretaget ThreatFabric avslöjade nyligen att dåliga aktörer använder FluBots befintliga nätfiske-SMS-infrastruktur för att sprida en ny stam av Android-skadlig programvara känd som Medusa. Kampanjen som sprider Medusa pågår tillsammans med pågående försök att sprida FluBot.
FluBot - Gammal hund, nya knep
Det vanligaste sättet att distribuera FluBot är nätfiske, men använder SMS istället för e-post, eftersom skadlig programvara riktar sig till Android-mobilanvändare. SMS-meddelandena använder ett enkelt bete - att få användaren att trycka på en länk som finns i ett falskt meddelande om "du missade din kurirleverans".
FluBot har ett läskigt utbud av möjligheter, allt från att förvandla den drabbade enheten till en bot och lägga till den i det befintliga nätverket av zombieenheter, till att stjäla bankinformation och olika inloggningsuppgifter från den komprometterade enheten. När den väl har distribuerats spammar den skadliga programvaran FluBot också det falska skadliga sms:et till alla kontakter som finns på det ursprungliga offrets telefon, i ett försök att sprida infektionen vidare och snabbare.
ThreatFabric fann att Medusa distribuerades med samma app- och paketnamn som FluBot och att bosätta sig i en etablerad och testad leveransinfrastruktur gjorde det möjligt för den nya skadliga programvaran att infektera omkring 1 500 telefoner som fick det vanliga falska meddelandet "missad DHL-leverans".
Medusa har setts smitta offer i Nordamerika och Europa, med fall i Kanada, USA och Turkiet. Till en början försökte den skadliga programvaran att rikta in sig på turkiska finansinstitutioner och organisationer, men gick senare västerut, riktade sig mot mycket fler befolkningsgrupper och som ett resultat av det snabbt ökade infektioner.
Medusa och FluBot förbättras
Medusa, som liknar FluBot, är i sitt hjärta en mobil banktrojan som också har spionfunktioner. Skadlig programvara missbrukar Androids tillgänglighetstjänst för att ställa in värdet på vilken textruta som helst till vilken sträng som skadlig programvara författarna vill ha. Detta innebär att gränssnittsboxen som innehåller kontot för en banköverföringsmottagare enkelt kan bytas till kontot som innehas av hackarna och avsändaren blir inte klokare.
Även om Medusa distribueras genom FluBots etablerade infrastruktur, utvecklas också FluBot. En ny uppdatering lade till funktionalitet som gör att skadlig programvara kan kapa svaren på push-meddelanden. Detta extra lager av skadliga funktioner kan tillåta skadlig programvara att förhindra korrekt användning av MFA på offrets enhet.