Android FluBot-Infrastruktur zur Verbreitung von Medusa-Malware genutzt
Sicherheitsforscher warnen davor, dass die etablierte Infrastruktur der berüchtigten Android-Malware FluBot genutzt wird, um eine bösartige Payload unter dem Namen „Medusa“ zu verbreiten.
Ein Team des niederländischen Unternehmens für mobile Sicherheit ThreatFabric hat kürzlich enthüllt, dass Angreifer die bestehende Phishing-SMS-Infrastruktur von FluBot nutzen, um einen neuen Stamm von Android-Malware namens Medusa zu verbreiten. Die Kampagne zur Verbreitung von Medusa läuft parallel zu laufenden Versuchen, FluBot zu verbreiten.
FluBot - Alter Hund, neue Tricks
Die häufigste Art der Verbreitung von FluBot ist Phishing, aber unter Verwendung von SMS anstelle von E-Mails, da die Malware auf Benutzer von Android-Mobilgeräten abzielt. Die SMS-Nachrichten verwenden einen einfachen Köder – sie bringen den Benutzer dazu, auf einen Link zu tippen, der in einer gefälschten Benachrichtigung „Sie haben Ihre Kurierzustellung verpasst“ enthalten ist.
FluBot verfügt über eine beängstigende Bandbreite an Fähigkeiten, die von der Umwandlung des Opfergeräts in einen Bot und dessen Hinzufügung zum bestehenden Netzwerk von Zombie-Geräten bis hin zum Diebstahl von Bankinformationen und verschiedenen Anmeldeinformationen vom kompromittierten Gerät reichen. Nach der Bereitstellung spammt die FluBot-Malware die gefälschte bösartige SMS auch an alle Kontakte, die auf dem Telefon des ursprünglichen Opfers gefunden wurden, um die Infektion weiter und schneller zu verbreiten.
ThreatFabric stellte fest, dass Medusa unter Verwendung derselben App- und Paketnamen wie FluBot vertrieben wurde, und die Eingewöhnung in eine etablierte und getestete Lieferinfrastruktur ermöglichte es der neuen Malware, rund 1.500 Telefone zu infizieren, die die übliche gefälschte Nachricht „Verpasste DHL-Lieferung“ erhielten.
Medusa wurde bei der Infektion von Opfern in Nordamerika und Europa entdeckt, mit Fällen in Kanada, den USA und der Türkei. Ursprünglich versuchte die Malware, türkische Finanzinstitute und -organisationen anzugreifen, zog aber später weiter in den Westen, zielte auf viel zahlreichere Bevölkerungsgruppen ab und führte dadurch schnell zu Infektionen.
Medusa und FluBot verbessern sich
Medusa, ähnlich wie FluBot, ist im Kern ein mobiler Banking-Trojaner, der auch Spionagefähigkeiten hat. Die Malware missbraucht den Accessibility Service von Android, um den Wert eines beliebigen Textfelds auf die von den Malware-Autoren gewünschte Zeichenfolge festzulegen. Das bedeutet, dass die Schnittstellenbox mit dem Konto eines Überweisungsempfängers leicht auf das Konto der Hacker umgestellt werden könnte und der Absender nichts klüger wird.
Obwohl Medusa über die etablierte Infrastruktur von FluBot vertrieben wird, entwickelt sich auch FluBot weiter. Ein aktuelles Update fügte eine Funktion hinzu, die es der Malware ermöglicht, die Antworten auf Push-Benachrichtigungen zu entführen. Diese zusätzliche Ebene bösartiger Fähigkeiten kann es der Malware ermöglichen, die ordnungsgemäße Verwendung von MFA auf dem Opfergerät zu verhindern.