بدافزار مدوسا موبایل

تروجان بانکی مدوسا پس از نزدیک به یک سال حفظ مشخصات پایین تر، دوباره ظاهر شد و کشورهایی از جمله فرانسه، ایتالیا، ایالات متحده، کانادا، اسپانیا، بریتانیا و ترکیه را هدف قرار داد. این فعالیت تجدید شده، که از ماه می نظارت می‌شود، شامل انواع ساده‌شده‌ای است که به مجوزهای کمتری نیاز دارند و عملکردهای جدیدی را با هدف شروع معاملات مستقیم از دستگاه‌های در معرض خطر معرفی می‌کنند.

تروجان بانکی مدوسا که با نام TangleBot نیز شناخته می‌شود، یک بدافزار اندرویدی به‌عنوان سرویس (MaaS) است که در سال 2020 کشف شد. این بدافزار قابلیت‌هایی مانند ثبت صفحه کلید، دستکاری صفحه و کنترل پیامک را ارائه می‌دهد. علیرغم اینکه این عملیات دارای نامی مشابه است، از گروه باج افزار و بات نت مبتنی بر Mirai که به دلیل حملات انکار سرویس توزیع شده (DDoS) شناخته می شود، متمایز است.

کمپین های تهدید آمیز استقرار بدافزار موبایل مدوسا

اولین مشاهده آخرین گونه های مدوسا به جولای 2023 بازمی گردد، زمانی که محققان آنها را در کمپین هایی مشاهده کردند که از فیشینگ پیامکی ("smishing") برای توزیع بدافزار از طریق برنامه های dropper استفاده می کردند. در مجموع 24 کمپین با استفاده از این گونه‌ها شناسایی شده‌اند که به پنج بات‌نت مجزا (UNKN، AFETZEDE، ANAKONDA، PEMBE و TONY) مرتبط هستند که هر کدام مسئول ارائه برنامه‌های مضر هستند.

بات نت UNKN توسط گروه خاصی از عوامل تهدید که بر کشورهای اروپایی به ویژه فرانسه، ایتالیا، اسپانیا و بریتانیا متمرکز شده اند، اداره می شود. برنامه های اخیر قطره چکانی مورد استفاده در این حملات عبارتند از:

• یک مرورگر کروم تقلبی
• یک برنامه ارتباطی ادعایی 5G.
• یک برنامه پخش جعلی به نام 4K Sports.

انتخاب اپلیکیشن 4K Sports به عنوان طعمه همزمان با مسابقات قهرمانی یوفا یورو 2024 در حال انجام است و آن را به یک فریب به موقع تبدیل می کند.

کارشناسان خاطرنشان می کنند که همه این کمپین ها و بات نت ها از طریق زیرساخت مرکزی مدوزا مدیریت می شوند که به صورت پویا URL های سرور Command-and-Control (C2) را از پروفایل های رسانه های اجتماعی در دسترس عموم بازیابی می کند.

تغییرات جدید در نسخه های بدافزار مدوزا

سازندگان بدافزار Medusa تصمیم گرفته‌اند با کاهش تعداد مجوزهای مورد نیاز، تأثیر آن را بر دستگاه‌های در معرض خطر به حداقل برسانند، اگرچه هنوز به خدمات دسترسی اندروید نیاز دارد. با وجود این کاهش، بدافزار توانایی خود را برای دسترسی به لیست مخاطبین قربانی و ارسال پیامک حفظ می کند، که همچنان یک روش حیاتی برای توزیع آن است.

تجزیه و تحلیل نشان می دهد که نویسندگان بدافزار 17 دستور را از تکرار قبلی خود حذف کرده اند و در عین حال پنج دستور جدید را معرفی کرده اند:

• Destroyo: یک برنامه خاص را حذف نصب کنید
• Permdrawover: درخواست مجوز "Drawing Over".
• Setoverlay: یک پوشش صفحه سیاه اعمال کنید
• Take_scr: گرفتن اسکرین شات
• Update_sec: راز کاربر را به روز کنید

یکی از نگرانی‌های خاص دستور «setoverlay» است که مهاجمان از راه دور را قادر می‌سازد تا مانورهای فریبنده‌ای مانند نمایش یک صفحه نمایش قفل شده یا خاموش را برای پنهان کردن فعالیت‌های تهدیدآمیز مانند نقل و انتقالات غیرمجاز وجوهی که در پس‌زمینه رخ می‌دهند، اجرا کنند.

قابلیت جدید اضافه شده برای گرفتن اسکرین شات نشان دهنده یک پیشرفت قابل توجه است و به عوامل تهدید روش جدیدی برای استخراج اطلاعات حساس از دستگاه های در معرض خطر ارائه می دهد.

اپراتورهای مدوزا در حال گسترش تمرکز خود هستند

به نظر می رسد عملیات تروجان بانکداری تلفن همراه مدوزا تمرکز خود را گسترش داده و تاکتیک های مخفیانه تری را اتخاذ می کند و راه را برای استقرار در مقیاس بزرگتر و افزایش تعداد قربانیان هموار می کند. در حالی که محققان هنوز هیچ یک از برنامه های dropper را در Google Play شناسایی نکرده اند، مشارکت رو به رشد مجرمان سایبری در Malware-as-a-Service (MaaS) نشان می دهد که استراتژی های توزیع احتمالا متنوع تر و پیچیده تر خواهند شد.