Medusa Kötü Amaçlı Yazılımını Dağıtmak İçin Kullanılan Android FluBot Altyapısı
Güvenlik araştırmacıları, kötü şöhretli Android FluBot kötü amaçlı yazılımının yerleşik altyapısının "Medusa" adı altında kötü niyetli bir yükü dağıtmak için kullanıldığı konusunda uyarıyorlar.
Hollandalı mobil güvenlik şirketi ThreatFabric ile bir ekip kısa süre önce, kötü niyetli kişilerin Medusa olarak bilinen yeni bir Android kötü amaçlı yazılım türünü yaymak için FluBot'un mevcut kimlik avı SMS altyapısını kullandığını ortaya çıkardı. Medusa'yı yayan kampanya, FluBot'u yaymak için devam eden girişimlerle birlikte yürütülüyor.
FluBot - Eski Köpek, Yeni Hileler
FluBot'un dağıtılmasının en yaygın yolu kimlik avıdır, ancak kötü amaçlı yazılım Android mobil kullanıcılarını hedef aldığından e-postalar yerine SMS kullanmaktır. SMS mesajları basit bir tuzak kullanır - kullanıcının sahte bir "kurye teslimatını kaçırdınız" bildirim mesajında bulunan bir bağlantıya dokunmasını sağlamak.
FluBot, kurban cihazını bir bota dönüştürmekten ve onu mevcut zombi cihazları ağına eklemekten, güvenliği ihlal edilen cihazdan bankacılık bilgilerini ve çeşitli oturum açma kimlik bilgilerini çalmaya kadar çok çeşitli yeteneklere sahiptir. FluBot kötü amaçlı yazılımı, bir kez konuşlandırıldıktan sonra, enfeksiyonu daha fazla ve daha hızlı yaymak amacıyla orijinal kurbanın telefonunda bulunan tüm kişilere sahte kötü amaçlı SMS'leri spam gönderir.
ThreatFabric, Medusa'nın FluBot ile aynı uygulama ve paket adlarını kullanarak dağıtıldığını ve yerleşik ve test edilmiş bir dağıtım altyapısına yerleşmesinin, yeni kötü amaçlı yazılımın her zamanki sahte "kaçırılan DHL teslimatı" mesajını alan yaklaşık 1.500 telefona bulaşmasına izin verdiğini tespit etti.
Medusa'nın Kanada, ABD ve Türkiye'deki vakalarla birlikte Kuzey Amerika ve Avrupa'daki kurbanlara bulaştığı tespit edildi. Başlangıçta, kötü amaçlı yazılım Türk finans kurumlarını ve kuruluşlarını hedef almaya çalıştı, ancak daha sonra batıya doğru ilerledi, çok daha fazla sayıda nüfusu hedef aldı ve sonuç olarak hızla enfeksiyonları artırdı.
Medusa ve FluBot İyileştirme
FluBot'a benzeyen Medusa, özünde casusluk yetenekleri de olan bir mobil bankacılık Truva Atı'dır. Kötü amaçlı yazılım, herhangi bir metin kutusunun değerini kötü amaçlı yazılım yazarlarının istediği dizeye ayarlamak için Android'in Erişilebilirlik Hizmetini kötüye kullanır. Bu, bir banka havalesi alıcısının hesabını içeren arayüz kutusunun, bilgisayar korsanları tarafından tutulan hesaba kolayca geçirilebileceği ve gönderenin daha akıllı olmayacağı anlamına gelir.
Medusa, FluBot'un yerleşik altyapısı aracılığıyla dağıtılıyor olsa da, FluBot da gelişiyor. Yeni bir güncelleme, kötü amaçlı yazılımın push bildirimlerine yanıtları ele geçirmesine olanak tanıyan işlevsellik ekledi. Bu ekstra kötü amaçlı yetenek katmanı, kötü amaçlı yazılımın kurban cihazda MFA'nın doğru kullanımını engellemesine izin verebilir.