用於分髮美杜莎惡意軟件的 Android FluBot 基礎設施

安全研究人員警告說，臭名昭著的 Android FluBot 惡意軟件的已建立基礎設施正被用於分發名為“Medusa”的惡意負載。

荷蘭移動安全公司 ThreatFabric 的一個團隊最近透露，不良行為者正在使用 FluBot 現有的網絡釣魚短信基礎設施傳播一種名為 Medusa 的新型 Android 惡意軟件。傳播 Medusa 的運動與傳播FluBot的持續嘗試同時進行。

FluBot - 老狗，新技巧

FluBot 最常見的分發方式是網絡釣魚，但使用的是 SMS 而不是電子郵件，因為該惡意軟件針對的是 Android 移動用戶。 SMS 消息使用了一個簡單的誘餌——讓用戶點擊一個包含在虛假“您錯過了快遞”通知消息中的鏈接。

FluBot 具有一系列可怕的功能，從將受害設備變成機器人並將其添加到現有的殭屍設備網絡，到從受感染設備竊取銀行信息和各種登錄憑據。部署後，FluBot 惡意軟件還會向原始受害者手機上的所有聯繫人發送虛假惡意短信，以進一步更快地傳播感染。

ThreatFabric 發現，Medusa 使用與 FluBot 相同的應用程序和軟件包名稱進行分發，並且在已建立且經過測試的交付基礎設施中安頓下來，新惡意軟件可以感染大約 1,500 部收到通常虛假的“錯過 DHL 交付”消息的手機。

美杜莎被發現感染了北美和歐洲的受害者，加拿大、美國和土耳其都有病例。最初，該惡意軟件試圖針對土耳其金融機構和組織，但後來轉移到西方，針對更多的人群並因此迅速增加感染。

Medusa 和 FluBot 改進

Medusa 與 FluBot 類似，其核心是一種具有間諜功能的移動銀行木馬。該惡意軟件濫用 Android 的輔助功能服務將任何文本框的值設置為惡意軟件作者想要的任何字符串。這意味著包含銀行轉賬收款人賬戶的界面框可以很容易地切換到黑客持有的賬戶，而發件人也不會更聰明。

儘管 Medusa 正在通過 FluBot 已建立的基礎設施進行分發，但 FluBot 也在不斷發展。最近的更新添加了允許惡意軟件劫持回复推送通知的功能。這種額外的惡意功能層可以讓惡意軟件阻止在受害設備上正確使用 MFA。