Medusa mobiili pahavara
Medusa pangandustroojalane on pärast peaaegu aastat kestnud madalamat profiili uuesti esile kerkinud, sihiks riike, sealhulgas Prantsusmaad, Itaaliat, Ameerika Ühendriike, Kanadat, Hispaaniat, Ühendkuningriiki ja Türgit. See uuendatud tegevus, mida jälgitakse alates maikuust, hõlmab sujuvamaid variante, mis nõuavad vähem õigusi, ja uute funktsioonide juurutamist, mille eesmärk on tehingute algatamine otse ohustatud seadmetest.
Medusa pangandustrooja, mida nimetatakse ka TangleBotiks, on Androidi pahavara teenusena (MaaS), mis avastati 2020. aastal. See pahavara pakub selliseid funktsioone nagu klahvilogimine, ekraaniga manipuleerimine ja SMS-juhtimine. Vaatamata samale nimele erineb see toiming lunavararühmast ja Mirai -põhisest robotvõrgust, mis on tuntud DDoS (Distributed Denial-of-Service) rünnakute poolest.
Sisukord
Ähvardavad kampaaniad Medusa mobiili pahavara juurutamisega
Medusa uusimate variantide esimesed nägemused pärinevad 2023. aasta juulist, mil teadlased jälgisid neid kampaaniates, mis kasutasid SMS-i andmepüüki (“smishing”) pahavara levitamiseks tilgutirakenduste kaudu. Kokku on tuvastatud 24 neid variante kasutavat kampaaniat, mis on seotud viie erineva botnetiga (UNKN, AFETZEDE, ANAKONDA, PEMBE ja TONY), millest igaüks vastutab kahjulike rakenduste tarnimise eest.
UNKN-i robotvõrku haldab konkreetne ohus osalejate rühm, kes on keskendunud Euroopa riikidele, eelkõige Prantsusmaale, Itaaliale, Hispaaniale ja Ühendkuningriigile. Nendes rünnakutes kasutatud hiljutised tilgutirakendused hõlmavad järgmist:
- Võltsitud Chrome'i brauser.
- Väidetav 5G-ühenduvusrakendus.
- Võlts voogesitusrakendus nimega 4K Sports.
4K Sports rakenduse valik söödaks langeb kokku käimasoleva UEFA EURO 2024 meistrivõistlustega, mistõttu on see õigeaegne peibutis.
Eksperdid märgivad, et kõiki neid kampaaniaid ja botnette hallatakse Medusa keskse infrastruktuuri kaudu, mis hangib dünaamiliselt Command-and-Control (C2) serveri URL-id avalikult juurdepääsetavatelt sotsiaalmeedia profiilidelt.
Uued muudatused Medusa pahavara versioonides
Medusa pahavara loojad on otsustanud minimeerida selle mõju ohustatud seadmetele, vähendades selleks vajalike lubade arvu, kuigi see nõuab siiski Androidi juurdepääsetavuse teenuseid. Vaatamata sellele vähenemisele säilitab pahavara oma võimaluse pääseda ligi ohvri kontaktiloendile ja saata SMS-sõnumeid, mis jääb selle levitamise kriitiliseks meetodiks.
Analüüs näitab, et pahavara autorid on selle eelmisest iteratsioonist kõrvaldanud 17 käsku, lisades samal ajal viis uut:
- Destroyo: desinstallige konkreetne rakendus
- Permdrawover: taotlege "üle joonistamise" luba
- Ülekatte määramine: rakendage musta ekraani ülekate
- Take_scr: jäädvustage ekraanipilt
- Update_sec: värskenda kasutaja saladust
Eriti murettekitav on käsk setoverlay, mis võimaldab kaugründajatel sooritada petlikke manöövreid, näiteks kuvada lukustatud või väljalülitatud ekraani, et varjata ähvardavaid tegevusi, nagu taustal toimuvad volitamata rahaülekanded.
Äsja lisatud ekraanipiltide jäädvustamise võimalus on märkimisväärne edasiminek, pakkudes ohus osalejatele uut meetodit tundliku teabe hankimiseks ohustatud seadmetest.
Medusa operaatorid laiendavad oma tähelepanu
Tundub, et Medusa mobiilipanganduse Trooja operatsioon laiendab oma tähelepanu ja võtab kasutusele vargasema taktika, sillutades teed suuremahulisele kasutuselevõtule ja ohvrite arvu suurenemisele. Kuigi teadlased pole veel Google Plays ühtegi tilgutirakendust tuvastanud, viitab küberkurjategijate kasvav osalus teenuses Malware-as-a-Service (MaaS), et levitamisstrateegiad muutuvad tõenäoliselt mitmekesisemaks ja keerukamaks.
