Medusa Mobile Malware

Банковият троянски кон Medusa се появи отново след почти година поддържане на по-нисък профил, насочен към страни, включително Франция, Италия, Съединените щати, Канада, Испания, Обединеното кралство и Турция. Тази подновена дейност, наблюдавана от май, включва рационализирани варианти, изискващи по-малко разрешения и въвеждащи нови функционалности, насочени към иницииране на транзакции директно от компрометирани устройства.

Наричан още TangleBot, банковият троянски кон Medusa е Android Malware-as-a-Service (MaaS), открит през 2020 г. Този злонамерен софтуер предлага възможности като keylogging, манипулиране на екрана и SMS контрол. Въпреки че споделя същото име, тази операция е различна от групата за рансъмуер и базираната на Mirai ботнет, известна с разпределени атаки за отказ на услуга (DDoS).

Заплашителни кампании за внедряване на зловреден софтуер за мобилни устройства Medusa

Първите наблюдения на най-новите варианти на Medusa датират от юли 2023 г., когато изследователите ги наблюдават в кампании, използващи SMS фишинг („смишинг“) за разпространение на злонамерен софтуер чрез приложения за капкомер. Идентифицирани са общо 24 кампании, използващи тези варианти, свързани с пет различни ботнета (UNKN, AFETZEDE, ANAKONDA, PEMBE и TONY), всяка от които отговаря за доставянето на вредни приложения.

UNKN ботнетът се управлява от специфична група заплахи, фокусирани върху европейски държави, по-специално Франция, Италия, Испания и Обединеното кралство. Последните приложения за капкане, използвани при тези атаки, включват:

• Фалшив браузър Chrome.
• Предполагаемо приложение за 5G свързаност.
• Фалшиво приложение за стрийминг, наречено 4K Sports.

Изборът на приложението 4K Sports като стръв съвпада с текущия шампионат UEFA EURO 2024, което го прави подходяща примамка.

Експертите отбелязват, че всички тези кампании и ботнет мрежи се управляват чрез централната инфраструктура на Medusa, която динамично извлича URL адреси на сървъри за командване и контрол (C2) от обществено достъпни профили в социалните медии.

Нови модификации във версиите на зловреден софтуер Medusa

Създателите на злонамерения софтуер Medusa са избрали да минимизират въздействието му върху компрометирани устройства, като намалят броя на разрешенията, които изисква, въпреки че все още изисква услугите за достъпност на Android. Въпреки това намаление, зловредният софтуер запазва способността си да осъществява достъп до списъка с контакти на жертвата и да изпраща SMS съобщения, което остава критичен метод за неговото разпространение.

Анализът разкрива, че авторите на зловреден софтуер са елиминирали 17 команди от предишната му итерация, като същевременно са въвели пет нови:

• Destroyo: деинсталирайте конкретно приложение
• Permdrawover: поискайте разрешение за „начертаване“.
• Setoverlay: приложете наслагване на черен екран
• Take_scr: заснемете екранна снимка
• Update_sec: актуализирайте потребителската тайна

От особено значение е командата „setoverlay“, която позволява на отдалечени нападатели да изпълняват измамни маневри като показване на заключен или изключен екран, за да скрият заплашителни дейности като неразрешени парични преводи, извършващи се във фонов режим.

Новодобавената способност за заснемане на екранни снимки представлява значително подобрение, предоставяйки на заплахите нов метод за извличане на чувствителна информация от компрометирани устройства.

Операторите на Medusa разширяват фокуса си

Операцията на троянския кон за мобилно банкиране Medusa изглежда разширява фокуса си и възприема по-скрити тактики, проправяйки пътя за по-мащабно внедряване и увеличен брой жертви. Въпреки че изследователите все още не са идентифицирали нито едно от капкомерните приложения в Google Play, нарастващото участие на киберпрестъпници в Malware-as-a-Service (MaaS) предполага, че стратегиите за разпространение вероятно ще станат по-разнообразни и сложни.