Infraestructura Android FluBot utilizada para distribuir el malware Medusa
Los investigadores de seguridad advierten que la infraestructura establecida del infame malware Android FluBot se está utilizando para distribuir una carga maliciosa bajo el nombre de "Medusa".
Un equipo de la empresa holandesa de seguridad móvil ThreatFabric reveló recientemente que los delincuentes están utilizando la infraestructura de SMS de phishing existente de FluBot para propagar una nueva variedad de malware de Android conocida como Medusa. La campaña de difusión de Medusa se lleva a cabo junto con los intentos en curso de difundir FluBot.
FluBot - Perro viejo, trucos nuevos
La forma más común de distribución de FluBot es el phishing, pero mediante SMS en lugar de correos electrónicos, ya que el malware se dirige a los usuarios de dispositivos móviles con Android. Los mensajes SMS usan un cebo simple: hacer que el usuario toque un enlace que está contenido en un mensaje de notificación falso "te perdiste la entrega del servicio de mensajería".
FluBot tiene una gama aterradora de capacidades, que van desde convertir el dispositivo de la víctima en un bot y agregarlo a la red existente de dispositivos zombis, hasta robar información bancaria y varias credenciales de inicio de sesión del dispositivo comprometido. Una vez desplegado, el software malicioso FluBot también envía spam con el falso SMS malicioso a todos los contactos encontrados en el teléfono de la víctima original, en un intento de propagar la infección más lejos y más rápido.
ThreatFabric descubrió que Medusa se estaba distribuyendo usando la misma aplicación y los mismos nombres de paquetes que FluBot y que instalarse en una infraestructura de entrega establecida y probada permitió que el nuevo malware infectara alrededor de 1500 teléfonos que recibían el mensaje falso habitual de "entrega perdida de DHL".
Se ha visto a Medusa infectando a víctimas en América del Norte y Europa, con casos en Canadá, Estados Unidos y Turquía. Inicialmente, el malware intentó apuntar a instituciones y organizaciones financieras turcas, pero luego se trasladó al oeste, apuntando a poblaciones mucho más numerosas y, como resultado, acumulando rápidamente infecciones.
Medusa y FluBot Mejorando
Medusa, similar a FluBot, es en esencia un troyano bancario móvil que también tiene capacidades de espionaje. El malware abusa del Servicio de accesibilidad de Android para establecer el valor de cualquier cuadro de texto en cualquier cadena que deseen los autores del malware. Esto significa que el cuadro de interfaz que contiene la cuenta del destinatario de una transferencia bancaria podría cambiarse fácilmente a la cuenta de los piratas informáticos y el remitente no se enterará.
Aunque Medusa se distribuye a través de la infraestructura establecida de FluBot, FluBot también está evolucionando. Una actualización reciente agregó una funcionalidad que permite que el malware secuestre las respuestas a las notificaciones automáticas. Esta capa adicional de capacidades maliciosas puede permitir que el malware impida el uso adecuado de MFA en el dispositivo de la víctima.