Medusa Mobile Malware
Bankovní trojan Medusa se znovu objevil po téměř roce, kdy si udržoval nižší profil, a zaměřuje se na země včetně Francie, Itálie, Spojených států, Kanady, Španělska, Spojeného království a Turecka. Tato obnovená aktivita, monitorovaná od května, zahrnuje zjednodušené varianty vyžadující méně oprávnění a zavádí nové funkce zaměřené na spouštění transakcí přímo z kompromitovaných zařízení.
Bankovní trojan Medusa , označovaný také jako TangleBot, je Android Malware-as-a-Service (MaaS) objevený v roce 2020. Tento malware nabízí funkce jako keylogging, manipulaci s obrazovkou a ovládání SMS. Navzdory tomu, že sdílí stejný název, je tato operace odlišná od skupiny ransomware a botnetu založeného na Mirai známého útoky Distributed Denial-of-Service (DDoS).
Obsah
Ohrožující kampaně využívající Medusa Mobile Malware
První pozorování nejnovějších variant Medusa se datuje do července 2023, kdy je výzkumníci pozorovali v kampaních využívajících SMS phishing („smishing“) k distribuci malwaru prostřednictvím aplikací typu dropper. Bylo identifikováno celkem 24 kampaní využívajících tyto varianty, propojených s pěti různými botnety (UNKN, AFETZEDE, ANAKONDA, PEMBE a TONY), z nichž každá je zodpovědná za poskytování škodlivých aplikací.
Botnet UNKN provozuje specifická skupina hrozeb zaměřených na evropské země, zejména Francii, Itálii, Španělsko a Spojené království. Mezi nedávné kapací aplikace používané při těchto útocích patří:
- Padělaný prohlížeč Chrome.
- Údajná aplikace pro připojení 5G.
- Falešná streamovací aplikace s názvem 4K Sports.
Volba aplikace 4K Sports jako návnady se shoduje s probíhajícím šampionátem UEFA EURO 2024, což z ní činí včasnou návnadu.
Odborníci poznamenávají, že všechny tyto kampaně a botnety jsou spravovány prostřednictvím centrální infrastruktury společnosti Medusa, která dynamicky získává adresy URL serveru Command-and-Control (C2) z veřejně přístupných profilů sociálních médií.
Nové úpravy ve verzích Medusa Malware
Tvůrci malwaru Medusa se rozhodli minimalizovat jeho dopad na kompromitovaná zařízení snížením počtu oprávnění, která vyžaduje, i když stále vyžaduje služby pro usnadnění přístupu Android. Navzdory tomuto snížení si malware zachovává schopnost přistupovat k seznamu kontaktů oběti a odesílat SMS zprávy, což zůstává kritickou metodou pro jeho distribuci.
Analýza ukazuje, že autoři malwaru odstranili 17 příkazů z předchozí iterace a zavedli pět nových:
- Destroyo: odinstalujte konkrétní aplikaci
- Permdrawover: vyžádejte si povolení 'Drawing Over'
- Setoverlay: použití černého překrytí obrazovky
- Take_scr: pořízení snímku obrazovky
- Update_sec: aktualizace uživatelského tajemství
Obzvláště znepokojivý je příkaz „setoverlay“, který umožňuje vzdáleným útočníkům provádět klamavé manévry, jako je zobrazení zamčené nebo vypnuté obrazovky, aby se zakryly ohrožující aktivity, jako jsou neoprávněné převody prostředků na pozadí.
Nově přidaná schopnost pořizovat snímky obrazovky představuje významné vylepšení a poskytuje aktérům hrozeb novou metodu získávání citlivých informací z kompromitovaných zařízení.
Operátoři Medusy rozšiřují své zaměření
Zdá se, že operace s trojským koněm pro mobilní bankovnictví Medusa rozšiřuje své zaměření a přijímá nenápadnější taktiku, čímž připravuje půdu pro rozsáhlejší nasazení a zvýšený počet obětí. Zatímco výzkumníci dosud neidentifikovali žádnou z kapátkových aplikací na Google Play, rostoucí účast kyberzločinců v Malware-as-a-Service (MaaS) naznačuje, že distribuční strategie budou pravděpodobně rozmanitější a sofistikovanější.
