Medusa Mobile -haittaohjelma
Medusa-pankkitroijalainen on noussut uudelleen esiin lähes vuoden matalamman profiilin ylläpitämisen jälkeen, ja se on kohdistettu sellaisiin maihin kuin Ranska, Italia, Yhdysvallat, Kanada, Espanja, Iso-Britannia ja Turkki. Tämä uudistettu toiminta, jota on seurattu toukokuusta lähtien, sisältää virtaviivaistetut versiot, jotka vaativat vähemmän käyttöoikeuksia, ja uusien toimintojen käyttöönotto, joiden tarkoituksena on käynnistää tapahtumia suoraan vaarantuneista laitteista.
Myös TangleBotiksi kutsuttu Medusa -pankkitroijalainen on vuonna 2020 löydetty Android-malware-as-a-Service (MaaS). Tämä haittaohjelma tarjoaa ominaisuuksia, kuten näppäinlokituksen, näytön manipuloinnin ja tekstiviestien hallinnan. Huolimatta samasta nimestä, tämä operaatio eroaa kiristyshaittaohjelmaryhmästä ja Mirai -pohjaisesta bottiverkosta, joka tunnetaan DDoS-hyökkäyksistä (Distributed Denial-of-Service).
Sisällysluettelo
Medusa Mobile -haittaohjelmia ottamalla käyttöön uhkaavat kampanjat
Ensimmäiset havainnot uusimmista Medusa-varianteista juontavat juurensa heinäkuuhun 2023, jolloin tutkijat havaitsivat niitä kampanjoissa, joissa hyödynnettiin SMS-phishingiä ('smishing') haittaohjelmien levittämiseksi dropper-sovellusten kautta. Yhteensä 24 näitä muunnelmia käyttävää kampanjaa on tunnistettu, ja ne on yhdistetty viiteen eri robottiverkkoon (UNKN, AFETZEDE, ANAKONDA, PEMBE ja TONY), joista jokainen vastaa haitallisten sovellusten toimittamisesta.
UNKN-bottiverkkoa ylläpitää erityinen uhkatoimijoiden ryhmä, joka on keskittynyt kohdistumaan Euroopan maihin, erityisesti Ranskaan, Italiaan, Espanjaan ja Isoon-Britanniaan. Viimeaikaisia näissä hyökkäyksissä käytettyjä dropper-sovelluksia ovat mm.
- Väärennetty Chrome-selain.
- Väitetty 5G-yhteyssovellus.
- Väärennetty suoratoistosovellus nimeltä 4K Sports.
4K Sports -sovelluksen valinta syötiksi osuu meneillään olevan UEFA EURO 2024 -mestaruuden kanssa, joten se on oikea-aikainen viehe.
Asiantuntijat huomauttavat, että kaikkia näitä kampanjoita ja bottiverkkoja hallitaan Medusan keskusinfrastruktuurin kautta, joka hakee dynaamisesti Command-and-Control (C2) -palvelimen URL-osoitteet julkisesti saatavilla olevista sosiaalisen median profiileista.
Uusia muutoksia Medusa-haittaohjelmaversioihin
Medusa-haittaohjelman luojat ovat päättäneet minimoida sen vaikutuksen vaarantuneisiin laitteisiin vähentämällä sen vaatimien käyttöoikeuksien määrää, vaikka se edellyttää silti Androidin esteettömyyspalveluita. Tästä vähennyksestä huolimatta haittaohjelma säilyttää kykynsä käyttää uhrin yhteystietoluetteloa ja lähettää tekstiviestejä, mikä on edelleen kriittinen menetelmä sen levittämisessä.
Analyysi paljastaa, että haittaohjelmien tekijät ovat poistaneet 17 komentoa aiemmasta iteraatiostaan ja ottaneet käyttöön viisi uutta:
- Destroyo: poista tietyn sovelluksen asennus
- Permdrawover: pyydä "Drawing Over" -lupa
- Aseta peittokuva: käytä mustan näytön peittokuvaa
- Take_scr: ota kuvakaappaus
- Update_sec: päivitä käyttäjän salaisuus
Erityisen huolestuttava on setoverlay-komento, jonka avulla etähyökkääjät voivat suorittaa petollisia liikkeitä, kuten näyttää lukitun tai sammutetun näytön peittääkseen uhkaavat toimet, kuten taustalla tapahtuvat luvattomat varojen siirrot.
Äskettäin lisätty kyky ottaa kuvakaappauksia on merkittävä parannus, joka tarjoaa uhkien toimijoille uuden menetelmän poimia arkaluonteisia tietoja vaarantuneista laitteista.
Medusan operaattorit laajentavat painopistettään
Medusa-mobiilipankkitoiminta Troijalainen näyttää laajentavan painopistettään ja omaksuvan salaperäisempiä taktiikoita, mikä tasoittaa tietä laajemmalle käyttöönotolle ja lisääntyneelle uhrien määrälle. Vaikka tutkijat eivät ole vielä tunnistaneet yhtään Google Playn dropper-sovellusta, verkkorikollisten kasvava osallistuminen Malware-as-a-Service (MaaS) -palveluun viittaa siihen, että jakelustrategioista tulee todennäköisesti monipuolisempia ja kehittyneempiä.
