Medusaマルウェアの配布に使用されるAndroidFluBotインフラストラクチャ

セキュリティ研究者は、悪名高いAndroid FluBotマルウェアの確立されたインフラストラクチャが、「Medusa」という名前の悪意のあるペイロードを配布するために使用されていると警告しています。

オランダのモバイルセキュリティ会社ThreatFabricのチームは最近、悪意のある人物がFluBotの既存のフィッシングSMSインフラストラクチャを使用して、Medusaと呼ばれるAndroidマルウェアの新種を拡散していることを明らかにしました。 Medusaを広めるキャンペーンは、 FluBotを広めるための継続的な試みと並行して実行されています。

FluBot-老犬、新しいトリック

FluBotが配布される最も一般的な方法はフィッシングですが、マルウェアはAndroidモバイルユーザーを標的としているため、電子メールの代わりにSMSを使用します。 SMSメッセージは、単純な餌を使用します。つまり、偽の「宅配便の配達を逃した」という通知メッセージに含まれているリンクをユーザーにタップさせます。

FluBotには、被害者のデバイスをボットに変えてゾンビデバイスの既存のネットワークに追加することから、侵入先のデバイスから銀行情報やさまざまなログイン資格情報を盗むことまで、恐ろしい範囲の機能があります。 FluBotマルウェアは、展開されると、感染をさらに迅速に伝播するために、偽の悪意のあるSMSを元の被害者の電話で見つかったすべての連絡先にスパム送信します。

ThreatFabricは、MedusaがFluBotと同じアプリとパッケージ名を使用して配布され、確立されテストされた配信インフラストラクチャに定着することで、新しいマルウェアが通常の偽の「DHL配信ミス」メッセージを受信した約1,500台の電話に感染することを発見しました。

メデューサは、北米とヨーロッパで感染した犠牲者を発見されており、カナダ、米国、トルコで症例があります。当初、マルウェアはトルコの金融機関や組織を標的にしようとしましたが、後に西に移動し、はるかに多くの集団を標的にし、結果として感染を急速に増加させました。

MedusaとFluBotの改善

Medusaは、FluBotと同様に、スパイ機能も備えたモバイルバンキング型トロイの木馬です。マルウェアはAndroidのアクセシビリティサービスを悪用して、テキストボックスの値をマルウェアの作成者が望む文字列に設定します。これは、銀行振込の受取人の口座を含むインターフェースボックスをハッカーが所有する口座に簡単に切り替えることができ、差出人が賢明ではないことを意味します。

MedusaはFluBotの確立されたインフラストラクチャを通じて配布されていますが、FluBotも進化しています。最近のアップデートでは、マルウェアがプッシュ通知への応答を乗っ取ることができる機能が追加されました。この悪意のある機能の追加レイヤーにより、マルウェアは被害者のデバイスでのMFAの適切な使用を妨げる可能性があります。