תוכנת זדונית ניידת של מדוזה

הטרויאני הבנקאי של מדוזה צץ מחדש לאחר כמעט שנה של שמירה על פרופיל נמוך יותר, ומכוון למדינות כולל צרפת, איטליה, ארצות הברית, קנדה, ספרד, בריטניה וטורקיה. הפעילות המחודשת הזו, שמנוטרת מאז מאי, כוללת גרסאות יעילות הדורשות פחות הרשאות והכנסת פונקציות חדשות שמטרתן ליזום עסקאות ישירות ממכשירים שנפרצו.

המכונה גם TangleBot, הטרויאני הבנקאי של Medusa הוא תוכנת זדונית-כשירות של אנדרואיד (MaaS) שהתגלתה בשנת 2020. תוכנה זדונית זו מציעה יכולות כגון רישום מקשים, מניפולציה של מסך ובקרת SMS. למרות שיתוף השם הזהה, פעולה זו נבדלת מקבוצת תוכנות הכופר ומהבוטנט מבוסס Mirai הידוע בהתקפות מניעת שירות מבוזרות (DDoS).

מסעות פרסום מאיימים תוך פריסת תוכנת זדונית לנייד של Medusa

התצפיות הראשונות של גרסאות מדוזה האחרונות מתוארכות ליולי 2023, כאשר חוקרים צפו בהן בקמפיינים הממנפים דיוג ב-SMS ('smishing') כדי להפיץ תוכנות זדוניות באמצעות יישומי טפטוף. סה"כ זוהו 24 קמפיינים המשתמשים בווריאציות אלו, מקושרים לחמישה רשתות בוטים נפרדות (UNKN, AFETZEDE, ANAKONDA, PEMBE ו- TONY), כל אחד אחראי לאספקת יישומים מזיקים.

הבוטנט של UNKN מופעל על ידי קבוצה מסוימת של גורמי איומים המתמקדים במיקוד למדינות אירופה, במיוחד צרפת, איטליה, ספרד ובריטניה. יישומי הטפטוף האחרונים ששימשו בהתקפות אלה כוללים:

• דפדפן כרום מזויף.
• אפליקציית קישוריות 5G לכאורה.
• אפליקציית סטרימינג מזויפת בשם 4K Sports.

הבחירה באפליקציית 4K Sports כפיתיון עולה בקנה אחד עם אליפות יורו 2024 המתמשכת של UEFA, מה שהופך אותה לפיתוי בזמן.

מומחים מציינים שכל הקמפיינים והבוטנטים הללו מנוהלים באמצעות התשתית המרכזית של מדוזה, המאחזרת באופן דינמי כתובות אתרים של שרת Command-and-Control (C2) מפרופילי מדיה חברתית נגישים לציבור.

שינויים חדשים בגרסאות המדוזה תוכנות זדוניות

יוצרי התוכנה הזדונית של מדוזה בחרו למזער את השפעתה על מכשירים שנפגעו על ידי הפחתת מספר ההרשאות שהיא דורשת, אם כי היא עדיין מחייבת את שירותי הנגישות של אנדרואיד. למרות הפחתה זו, התוכנה הזדונית שומרת על יכולתה לגשת לרשימת אנשי הקשר של הקורבן ולשלוח הודעות SMS, מה שנותר שיטה קריטית להפצתה.

ניתוח מגלה כי מחברי התוכנה הזדונית ביטלו 17 פקודות מהאיטרציה הקודמת שלה תוך הצגת חמש פקודות חדשות:

• Destroyo: הסר התקנה של יישום ספציפי
• Permdrawover: בקש הרשאת 'Drawing Over'
• הגדר שכבת-על: החל שכבת-על מסך שחור
• Take_scr: צלם צילום מסך
• Update_sec: עדכן את סוד המשתמש

מדאיגה במיוחד היא הפקודה 'setoverlay', המאפשרת לתוקפים מרוחקים לבצע תמרונים מטעים כמו הצגת מסך נעול או כבוי כדי לטשטש פעילויות מאיימות כמו העברות כספים לא מורשות המתרחשות ברקע.

היכולת החדשה שנוספה ללכוד צילומי מסך מייצגת שיפור משמעותי, ומספקת לשחקני איומים שיטה חדשה לחלץ מידע רגיש ממכשירים שנפגעו.

המפעילים של מדוזה מרחיבים את המיקוד שלהם

נראה שהפעולה הטרויאנית לבנקאות ניידת של מדוזה מרחיבה את המיקוד שלו ומאמצת טקטיקות חמקניות יותר, וסוללת את הדרך לפריסה בקנה מידה גדול יותר ולמספר מוגבר של קורבנות. בעוד שחוקרים עדיין לא זיהו אף אחת מיישומי הטפטוף ב-Google Play, ההשתתפות ההולכת וגוברת של פושעי סייבר ב-Malware-as-a-Service (MaaS) מעידה על כך שסביר להניח שאסטרטגיות ההפצה יהפכו למגוונות ומתוחכמות יותר.