Infrastructure Android FluBot utilisée pour distribuer les logiciels malveillants Medusa
Les chercheurs en sécurité avertissent que l'infrastructure établie du tristement célèbre malware Android FluBot est utilisée pour distribuer une charge utile malveillante sous le nom de "Medusa".
Une équipe de la société néerlandaise de sécurité mobile ThreatFabric a récemment révélé que des acteurs malveillants utilisent l'infrastructure SMS de phishing existante de FluBot pour diffuser une nouvelle souche de malware Android connue sous le nom de Medusa. La campagne de diffusion de Medusa se déroule parallèlement aux tentatives en cours de diffusion de FluBot.
FluBot - Vieux chien, nouveaux trucs
Le moyen le plus courant de distribuer FluBot est le phishing, mais en utilisant des SMS au lieu d'e-mails, car le malware cible les utilisateurs mobiles Android. Les messages SMS utilisent un appât simple - amener l'utilisateur à appuyer sur un lien contenu dans un faux message de notification "vous avez manqué votre livraison par courrier".
FluBot dispose d'une gamme effrayante de fonctionnalités, allant de la transformation de l'appareil victime en bot et de son ajout au réseau existant d'appareils zombies, au vol d'informations bancaires et de divers identifiants de connexion à partir de l'appareil compromis. Une fois déployé, le logiciel malveillant FluBot envoie également le faux SMS malveillant à tous les contacts trouvés sur le téléphone de la victime d'origine, dans le but de propager l'infection plus loin et plus rapidement.
ThreatFabric a découvert que Medusa était distribué en utilisant les mêmes noms d'application et de package que FluBot et s'installer dans une infrastructure de livraison établie et testée a permis au nouveau logiciel malveillant d'infecter environ 1 500 téléphones qui ont reçu le faux message habituel "livraison DHL manquée".
Medusa a été repéré infectant des victimes en Amérique du Nord et en Europe, avec des cas au Canada, aux États-Unis et en Turquie. Au départ, le logiciel malveillant tentait de cibler les institutions et organisations financières turques, mais s'est ensuite déplacé vers l'ouest, ciblant des populations beaucoup plus nombreuses et accumulant rapidement les infections en conséquence.
Amélioration de Medusa et FluBot
Medusa, similaire à FluBot, est en son cœur un cheval de Troie bancaire mobile qui a également des capacités d'espionnage. Le malware abuse du service d'accessibilité d'Android pour définir la valeur de n'importe quelle zone de texte sur la chaîne souhaitée par les auteurs du malware. Cela signifie que la boîte d'interface contenant le compte d'un destinataire de virement bancaire pourrait être facilement commutée sur le compte détenu par les pirates et l'expéditeur n'en sera pas plus avisé.
Même si Medusa est distribué via l'infrastructure établie de FluBot, FluBot évolue également. Une mise à jour récente a ajouté une fonctionnalité qui permet au logiciel malveillant de détourner les réponses aux notifications push. Cette couche supplémentaire de capacités malveillantes peut permettre au logiciel malveillant d'empêcher l'utilisation correcte de MFA sur l'appareil victime.