Multi-License Discount Quote
Βάση δεδομένων απειλών Mobile Malware Κακόβουλο λογισμικό Medusa Mobile

Κακόβουλο λογισμικό Medusa Mobile

Μέχρι το Mezo το Mobile Malware, Banking Trojan
Μετάφραση σε:
Ελληνικά

Το τραπεζικό Trojan της Medusa επανεμφανίστηκε μετά από σχεδόν ένα χρόνο διατήρησης χαμηλότερου προφίλ, στοχεύοντας χώρες όπως η Γαλλία, η Ιταλία, οι Ηνωμένες Πολιτείες, ο Καναδάς, η Ισπανία, το Ηνωμένο Βασίλειο και η Τουρκία. Αυτή η ανανεωμένη δραστηριότητα, η οποία παρακολουθείται από τον Μάιο, περιλαμβάνει βελτιστοποιημένες παραλλαγές που απαιτούν λιγότερα δικαιώματα και εισάγουν νέες λειτουργίες που στοχεύουν στην έναρξη συναλλαγών απευθείας από παραβιασμένες συσκευές.

Αναφέρεται επίσης ως TangleBot, το Medusa banking Trojan είναι ένα Android Malware-as-a-Service (MaaS) που ανακαλύφθηκε το 2020. Αυτό το κακόβουλο λογισμικό προσφέρει δυνατότητες όπως καταγραφή πληκτρολογίου, χειρισμό οθόνης και έλεγχο SMS. Παρόλο που μοιράζεται το ίδιο όνομα, αυτή η λειτουργία διαφέρει από την ομάδα ransomware και το botnet που βασίζεται στο Mirai, γνωστό για τις επιθέσεις Distributed Denial-of-Service (DDoS).

Απειλητικές καμπάνιες που αναπτύσσουν το κακόβουλο λογισμικό Medusa Mobile

Οι πρώτες παρατηρήσεις των τελευταίων παραλλαγών της Medusa χρονολογούνται από τον Ιούλιο του 2023, όταν οι ερευνητές τις παρατήρησαν σε καμπάνιες που αξιοποιούσαν το SMS phishing («smishing») για τη διανομή κακόβουλου λογισμικού μέσω εφαρμογών dropper. Έχουν εντοπιστεί συνολικά 24 καμπάνιες που χρησιμοποιούν αυτές τις παραλλαγές, οι οποίες συνδέονται με πέντε διαφορετικά botnets (UNKN, AFETZEDE, ANAKONDA, PEMBE και TONY), το καθένα υπεύθυνο για την παροχή επιβλαβών εφαρμογών.

Το botnet UNKN λειτουργεί από μια συγκεκριμένη ομάδα παραγόντων απειλών που επικεντρώνονται στη στόχευση ευρωπαϊκών χωρών, ιδιαίτερα στη Γαλλία, την Ιταλία, την Ισπανία και το Ηνωμένο Βασίλειο. Οι πρόσφατες εφαρμογές dropper που χρησιμοποιούνται σε αυτές τις επιθέσεις περιλαμβάνουν:

  • Ένα πλαστό πρόγραμμα περιήγησης Chrome.
  • Μια υποτιθέμενη εφαρμογή συνδεσιμότητας 5G.
  • Μια ψεύτικη εφαρμογή ροής με το όνομα 4K Sports.

Η επιλογή της εφαρμογής 4K Sports ως δόλωμα συμπίπτει με το εν εξελίξει πρωτάθλημα UEFA EURO 2024, καθιστώντας την επίκαιρο δέλεαρ.

Οι ειδικοί σημειώνουν ότι όλες αυτές οι καμπάνιες και τα botnets διαχειρίζονται μέσω της κεντρικής υποδομής της Medusa, η οποία ανακτά δυναμικά διευθύνσεις URL διακομιστή Command-and-Control (C2) από δημόσια προσβάσιμα προφίλ κοινωνικών μέσων.

Νέες τροποποιήσεις στις εκδόσεις Malware Medusa

Οι δημιουργοί του κακόβουλου λογισμικού Medusa επέλεξαν να ελαχιστοποιήσουν τον αντίκτυπό του σε παραβιασμένες συσκευές μειώνοντας τον αριθμό των αδειών που απαιτεί, αν και εξακολουθεί να απαιτεί τις Υπηρεσίες Προσβασιμότητας του Android. Παρά τη μείωση αυτή, το κακόβουλο λογισμικό διατηρεί την ικανότητά του να έχει πρόσβαση στη λίστα επαφών του θύματος και να στέλνει μηνύματα SMS, κάτι που παραμένει μια κρίσιμη μέθοδος για τη διανομή του.

Η ανάλυση αποκαλύπτει ότι οι δημιουργοί κακόβουλου λογισμικού έχουν εξαλείψει 17 εντολές από την προηγούμενη επανάληψη του, ενώ εισάγουν πέντε νέες:

  • Destroyo: απεγκαταστήστε μια συγκεκριμένη εφαρμογή
  • Permdrawover: ζητήστε άδεια "Drawing Over".
  • Setoverlay: εφαρμόστε μια μαύρη επικάλυψη οθόνης
  • Take_scr: τραβήξτε ένα στιγμιότυπο οθόνης
  • Update_sec: ενημέρωση μυστικού χρήστη

Ιδιαίτερη ανησυχία προκαλεί η εντολή «setoverlay», η οποία επιτρέπει στους απομακρυσμένους επιτιθέμενους να εκτελούν παραπλανητικούς ελιγμούς, όπως η εμφάνιση κλειδωμένης ή απενεργοποιημένης οθόνης για να αποκρύψουν απειλητικές δραστηριότητες όπως μη εξουσιοδοτημένες μεταφορές κεφαλαίων που πραγματοποιούνται στο παρασκήνιο.

Η νέα δυνατότητα λήψης στιγμιότυπων οθόνης αντιπροσωπεύει μια σημαντική βελτίωση, παρέχοντας στους παράγοντες απειλών μια νέα μέθοδο εξαγωγής ευαίσθητων πληροφοριών από παραβιασμένες συσκευές.

Οι χειριστές της Medusa επεκτείνουν την εστίασή τους

Η λειτουργία Trojan mobile banking Medusa φαίνεται να διευρύνει την εστίασή της και να υιοθετεί πιο κρυφές τακτικές, ανοίγοντας το δρόμο για ανάπτυξη μεγαλύτερης κλίμακας και αυξημένο αριθμό θυμάτων. Αν και οι ερευνητές δεν έχουν ακόμη εντοπίσει καμία από τις εφαρμογές dropper στο Google Play, η αυξανόμενη συμμετοχή των εγκληματιών του κυβερνοχώρου στο Malware-as-a-Service (MaaS) υποδηλώνει ότι οι στρατηγικές διανομής πιθανότατα θα γίνουν πιο διαφορετικές και εξελιγμένες.

Τάσεις

Περισσότερες εμφανίσεις

Απάτη ηλεκτρονικού ταχυδρομείου «Geek Squad».

Phishing, Spam
38,757
Το Geek Squad, ένας δημοφιλής πάροχος τεχνικής υποστήριξης, έχει πέσει θύμα μιας απάτης ηλεκτρονικού ψαρέματος που ονομάζεται Geek Squad Email Scam. Αυτή η απάτη τεχνικής υποστήριξης χρησιμοποιεί πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου που εξαπατούν τους ανθρώπους να δώσουν τα προσωπικά τους στοιχεία, όπως στοιχεία πιστωτικών καρτών, διευθύνσεις email, ακόμη και αριθμούς κοινωνικής ασφάλισης....
Φόρτωση...