Medusa Mobile Malware
Medusa bankarski trojanac ponovno se pojavio nakon gotovo godinu dana održavanja nižeg profila, ciljajući na zemlje uključujući Francusku, Italiju, Sjedinjene Države, Kanadu, Španjolsku, Ujedinjeno Kraljevstvo i Tursku. Ova obnovljena aktivnost, koja se prati od svibnja, uključuje pojednostavljene varijante koje zahtijevaju manje dopuštenja i uvode nove funkcionalnosti usmjerene na pokretanje transakcija izravno s kompromitiranih uređaja.
Također poznat kao TangleBot, bankarski trojanac Medusa je Android Malware-as-a-Service (MaaS) otkriven 2020. Ovaj zlonamjerni softver nudi mogućnosti kao što su keylogging, manipulacija zaslonom i SMS kontrola. Unatoč tome što dijeli isto ime, ova se operacija razlikuje od skupine ransomwarea i botneta temeljenog na Miraiju , poznatog po napadima Distributed Denial-of-Service (DDoS).
Sadržaj
Prijeteće kampanje koje koriste Medusa Mobile Malware
Prva viđenja najnovijih varijanti Meduse datiraju iz srpnja 2023., kada su ih istraživači promatrali u kampanjama koje koriste SMS phishing ('smishing') za distribuciju zlonamjernog softvera putem dropper aplikacija. Identificirane su ukupno 24 kampanje koje koriste ove varijante, povezane s pet različitih botneta (UNKN, AFETZEDE, ANAKONDA, PEMBE i TONY), od kojih je svaki odgovoran za isporuku štetnih aplikacija.
UNKN botnetom upravlja određena skupina aktera prijetnji usmjerenih na ciljanje europskih zemalja, posebice Francuske, Italije, Španjolske i Ujedinjenog Kraljevstva. Nedavne dropper aplikacije korištene u ovim napadima uključuju:
- Krivotvoreni preglednik Chrome.
- Navodna aplikacija za 5G povezivanje.
- Lažna aplikacija za streaming pod nazivom 4K Sports.
Odabir aplikacije 4K Sports kao mamca podudara se s tekućim prvenstvom UEFA EURO 2024, što je čini pravovremenim mamcem.
Stručnjaci primjećuju da se svim tim kampanjama i botnetovima upravlja putem Medusine središnje infrastrukture, koja dinamički dohvaća URL-ove Command-and-Control (C2) poslužitelja s javno dostupnih profila društvenih medija.
Nove izmjene u verzijama zlonamjernog softvera Medusa
Kreatori zlonamjernog softvera Medusa odlučili su minimizirati njegov utjecaj na kompromitirane uređaje smanjenjem broja dozvola koje su mu potrebne, iako još uvijek zahtijeva Androidove usluge pristupačnosti. Unatoč ovom smanjenju, zlonamjerni softver zadržava svoju mogućnost pristupa popisu kontakata žrtve i slanja SMS poruka, što ostaje kritična metoda za njegovu distribuciju.
Analiza otkriva da su autori zlonamjernog softvera eliminirali 17 naredbi iz prethodne iteracije dok su uveli pet novih:
- Destroyo: deinstalirajte određenu aplikaciju
- Permdrawover: zatražite dopuštenje 'Precrtavanje'
- Postavi preklapanje: primijenite prekrivač crnog zaslona
- Take_scr: snimite snimku zaslona
- Update_sec: ažuriranje korisničke tajne
Posebno zabrinjava naredba 'setoverlay', koja udaljenim napadačima omogućuje izvođenje varljivih manevara kao što je prikazivanje zaključanog ili isključenog zaslona kako bi se prikrile prijeteće aktivnosti poput neovlaštenih prijenosa sredstava koji se odvijaju u pozadini.
Novododana mogućnost snimanja snimki zaslona predstavlja značajno poboljšanje, pružajući akterima prijetnji svježu metodu za izvlačenje osjetljivih informacija s kompromitiranih uređaja.
Medusini operateri proširuju svoj fokus
Čini se da operacija Trojanca za mobilno bankarstvo Medusa proširuje svoj fokus i usvaja prikrivenu taktiku, utirući put širem postavljanju i povećanom broju žrtava. Dok istraživači još nisu identificirali nijednu od dropper aplikacija na Google Playu, sve veće sudjelovanje kibernetičkih kriminalaca u Malware-as-a-Service (MaaS) sugerira da će distribucijske strategije vjerojatno postati raznolikije i sofisticiranije.
