Medusa Mobile Malware
Medusa-banktrojaneren er dukket op igen efter næsten et år med at opretholde en lavere profil og målrettede mod lande, herunder Frankrig, Italien, USA, Canada, Spanien, Storbritannien og Tyrkiet. Denne fornyede aktivitet, som er overvåget siden maj, involverer strømlinede varianter, der kræver færre tilladelser og introducerer nye funktioner, der sigter mod at starte transaktioner direkte fra kompromitterede enheder.
Medusa -banktrojaneren, også kaldet TangleBot, er en Android Malware-as-a-Service (MaaS) opdaget i 2020. Denne malware tilbyder funktioner såsom keylogging, skærmmanipulation og SMS-kontrol. På trods af at den deler det samme navn, er denne operation adskilt fra ransomware-gruppen og det Mirai -baserede botnet kendt for Distributed Denial-of-Service (DDoS)-angreb.
Indholdsfortegnelse
Truende kampagner, der implementerer Medusa Mobile Malware
De første observationer af de seneste Medusa-varianter går tilbage til juli 2023, hvor forskere observerede dem i kampagner, der udnyttede SMS-phishing ('smishing') til at distribuere malware gennem dropper-applikationer. I alt 24 kampagner, der anvender disse varianter, er blevet identificeret, knyttet til fem forskellige botnets (UNKN, AFETZEDE, ANAKONDA, PEMBE og TONY), som hver især er ansvarlige for at levere skadelige applikationer.
UNKN-botnettet drives af en specifik gruppe trusselsaktører, der fokuserer på at målrette europæiske lande, især Frankrig, Italien, Spanien og Storbritannien. Nylige dropper-applikationer brugt i disse angreb omfatter:
- En forfalsket Chrome-browser.
- En påstået 5G-tilslutningsapplikation.
- En falsk streaming-applikation ved navn 4K Sports.
Valget af 4K Sports-applikationen som lokkemad falder sammen med det igangværende UEFA EURO 2024-mesterskab, hvilket gør det til et rettidigt lokkemiddel.
Eksperter bemærker, at alle disse kampagner og botnets administreres gennem Medusas centrale infrastruktur, som dynamisk henter Command-and-Control (C2) server-URL'er fra offentligt tilgængelige sociale medieprofiler.
Nye ændringer i Medusa Malware-versionerne
Skaberne af Medusa malware har valgt at minimere dens indvirkning på kompromitterede enheder ved at reducere antallet af tilladelser, det kræver, selvom det stadig kræver Androids tilgængelighedstjenester. På trods af denne reduktion bevarer malwaren sin evne til at få adgang til offerets kontaktliste og sende SMS-beskeder, hvilket fortsat er en kritisk metode til distributionen.
Analyse afslører, at malware-forfatterne har elimineret 17 kommandoer fra dens tidligere iteration, mens de introducerede fem nye:
- Destroyo: afinstaller en specifik applikation
- Permdrawover: anmod om 'Drawing Over'-tilladelse
- Sæt overlejring: Anvend en sort skærmoverlejring
- Take_scr: tag et skærmbillede
- Update_sec: opdater brugerhemmeligheden
Af særlig bekymring er kommandoen 'setoverlay', som gør det muligt for fjernangribere at udføre vildledende manøvrer såsom at vise en låst eller slukket skærm for at skjule truende aktiviteter som uautoriserede pengeoverførsler, der finder sted i baggrunden.
Den nyligt tilføjede mulighed for at tage skærmbilleder repræsenterer en væsentlig forbedring, der giver trusselsaktører en ny metode til at udtrække følsomme oplysninger fra kompromitterede enheder.
Medusas operatører udvider deres fokus
Medusa mobile banking Trojan-operationen ser ud til at udvide sit fokus og vedtage mere snigende taktikker, hvilket baner vejen for større udrulning og et øget antal ofre. Mens forskere endnu ikke har identificeret nogen af dropper-apps på Google Play, tyder den voksende deltagelse af cyberkriminelle i Malware-as-a-Service (MaaS) på, at distributionsstrategier sandsynligvis vil blive mere mangfoldige og sofistikerede.
