البرمجيات الخبيثة ميدوسا موبايل

عاد فيروس طروادة Medusa المصرفي إلى الظهور مرة أخرى بعد ما يقرب من عام من الحفاظ على مستوى منخفض من الاهتمام، مستهدفًا دولًا من بينها فرنسا وإيطاليا والولايات المتحدة وكندا وإسبانيا والمملكة المتحدة وتركيا. يتضمن هذا النشاط المتجدد، والذي تمت مراقبته منذ شهر مايو، متغيرات مبسطة تتطلب أذونات أقل وإدخال وظائف جديدة تهدف إلى بدء المعاملات مباشرة من الأجهزة المخترقة.

يعد حصان طروادة Medusa المصرفي، والذي يُشار إليه أيضًا باسم TangleBot، أحد البرامج الضارة كخدمة (MaaS) التي تعمل بنظام Android والتي تم اكتشافها في عام 2020. وتوفر هذه البرامج الضارة إمكانات مثل تسجيل لوحة المفاتيح والتلاعب بالشاشة والتحكم في الرسائل القصيرة. على الرغم من مشاركة نفس الاسم، فإن هذه العملية تختلف عن مجموعة برامج الفدية وشبكة الروبوتات المستندة إلى Mirai والمعروفة بهجمات رفض الخدمة الموزعة (DDoS).

حملات التهديد بنشر البرمجيات الخبيثة Medusa Mobile

تعود المشاهدات الأولى لأحدث متغيرات Medusa إلى يوليو 2023، عندما لاحظها الباحثون في حملات تستفيد من التصيد الاحتيالي عبر الرسائل النصية القصيرة ('smishing') لتوزيع البرامج الضارة من خلال تطبيقات القطارة. تم تحديد إجمالي 24 حملة تستخدم هذه المتغيرات، مرتبطة بخمس شبكات روبوتية متميزة (UNKN، وAFETZEDE، وANAKONDA، وPEMBE، وTONY)، وكل منها مسؤول عن تقديم التطبيقات الضارة.

يتم تشغيل شبكة الروبوتات UNKN من قبل مجموعة محددة من الجهات الفاعلة في مجال التهديد والتي تركز على استهداف الدول الأوروبية، وخاصة فرنسا وإيطاليا وإسبانيا والمملكة المتحدة. تتضمن تطبيقات القطارة الحديثة المستخدمة في هذه الهجمات ما يلي:

• متصفح Chrome مزيف.
• تطبيق اتصال 5G مزعوم.
• تطبيق بث مزيف اسمه 4K Sports.

يتزامن اختيار تطبيق 4K Sports كطعم مع بطولة UEFA EURO 2024 الجارية، مما يجعله إغراءً في الوقت المناسب.

لاحظ الخبراء أن جميع هذه الحملات وشبكات الروبوتات تتم إدارتها من خلال البنية التحتية المركزية لـ Medusa، والتي تسترد ديناميكيًا عناوين URL لخادم القيادة والتحكم (C2) من ملفات تعريف الوسائط الاجتماعية التي يمكن الوصول إليها بشكل عام.

تعديلات جديدة في إصدارات Medusa Malware

اختار مبتكرو برنامج Medusa الضار تقليل تأثيره على الأجهزة المخترقة عن طريق تقليل عدد الأذونات التي يتطلبها، على الرغم من أنه لا يزال يتطلب خدمات إمكانية الوصول الخاصة بنظام Android. وعلى الرغم من هذا التخفيض، تحتفظ البرمجيات الخبيثة بقدرتها على الوصول إلى قائمة جهات اتصال الضحية وإرسال رسائل نصية قصيرة، والتي تظل وسيلة حاسمة لتوزيعها.

يكشف التحليل أن مؤلفي البرامج الضارة قد أزالوا 17 أمرًا من الإصدار السابق بينما قدموا خمسة أوامر جديدة:

• Destroyo: إلغاء تثبيت تطبيق معين
• Permdrawover: طلب إذن "السحب".
• Setoverlay: تطبيق تراكب شاشة سوداء
• Take_scr: التقط لقطة شاشة
• Update_sec: تحديث سر المستخدم

ومما يثير القلق بشكل خاص أمر "setoverlay"، الذي يمكّن المهاجمين عن بعد من تنفيذ مناورات خادعة مثل عرض شاشة مقفلة أو معطلة لإخفاء الأنشطة التهديدية مثل تحويلات الأموال غير المصرح بها التي تحدث في الخلفية.

تمثل القدرة المضافة حديثًا لالتقاط لقطات الشاشة تحسينًا كبيرًا، حيث توفر للجهات الفاعلة في مجال التهديد طريقة جديدة لاستخراج المعلومات الحساسة من الأجهزة المخترقة.

يقوم مشغلو ميدوسا بتوسيع نطاق تركيزهم

يبدو أن عملية حصان طروادة للخدمات المصرفية عبر الهاتف المحمول Medusa تعمل على توسيع نطاق تركيزها وتبني تكتيكات أكثر سرية، مما يمهد الطريق لنشرها على نطاق أوسع وزيادة عدد الضحايا. على الرغم من أن الباحثين لم يحددوا بعد أيًا من تطبيقات Dropper على Google Play، فإن المشاركة المتزايدة لمجرمي الإنترنت في البرامج الضارة كخدمة (MaaS) تشير إلى أن استراتيجيات التوزيع من المرجح أن تصبح أكثر تنوعًا وتعقيدًا.