Medusa Mobile Malware

A Medusa banki trójai csaknem egy év alacsonyabb profil megőrzése után újra felbukkant, és olyan országokat céloz meg, mint Franciaország, Olaszország, az Egyesült Államok, Kanada, Spanyolország, az Egyesült Királyság és Törökország. Ez a megújított tevékenység, amelyet május óta figyelnek, olyan egyszerűsített változatokat foglal magában, amelyek kevesebb engedélyt igényelnek, és olyan új funkciókat vezetnek be, amelyek célja a tranzakciók közvetlenül a feltört eszközökről történő kezdeményezése.

A TangleBot néven is emlegetett Medusa banki trójai egy 2020-ban felfedezett androidos malware-as-a-Service (MaaS). Ez a rosszindulatú program olyan funkciókat kínál, mint a billentyűnaplózás, a képernyő manipulálása és az SMS-vezérlés. Az azonos név ellenére ez a művelet különbözik a ransomware csoporttól és a Mirai -alapú botnettől, amely az elosztott szolgáltatásmegtagadási (DDoS) támadásokról ismert.

Fenyegető kampányok a Medusa Mobile rosszindulatú program telepítésével

A legújabb Medusa-változatok első észlelése 2023 júliusáig nyúlik vissza, amikor a kutatók megfigyelték őket olyan kampányokban, amelyek SMS-es adathalászatot („smishing”) használtak a rosszindulatú programok dropper alkalmazásokon keresztüli terjesztésére. Összesen 24 kampányt azonosítottak, amelyek ezeket a változatokat alkalmazzák, öt különböző botnethez kapcsolva (UNKN, AFETZEDE, ANAKONDA, PEMBE és TONY), amelyek mindegyike a káros alkalmazások szállításáért felelős.

Az UNKN botnetet a fenyegetés szereplőinek egy meghatározott csoportja üzemelteti, akik az európai országokat célozzák meg, különösen Franciaországot, Olaszországot, Spanyolországot és az Egyesült Királyságot. Az ezekben a támadásokban használt legutóbbi dropper alkalmazások a következők:

• Egy hamisított Chrome böngésző.
• Egy állítólagos 5G csatlakozási alkalmazás.
• Egy 4K Sports nevű hamis streaming alkalmazás.

A 4K Sports alkalmazás csaliként való választása egybeesik a folyamatban lévő UEFA EURO 2024 bajnoksággal, így ez időszerű csali.

A szakértők megjegyzik, hogy ezeket a kampányokat és botneteket a Medusa központi infrastruktúrája kezeli, amely dinamikusan lekéri a Command-and-Control (C2) szerver URL-címeit a nyilvánosan elérhető közösségi média profilokból.

Új módosítások a Medusa Malware verziókban

A Medusa rosszindulatú program készítői úgy döntöttek, hogy minimalizálják annak hatását a feltört eszközökre azáltal, hogy csökkentik a szükséges engedélyek számát, bár ehhez továbbra is szükség van az Android kisegítő szolgáltatásaira. A csökkenés ellenére a rosszindulatú program továbbra is képes hozzáférni az áldozat névjegyzékéhez és SMS-eket küldeni, ami továbbra is kritikus módszer a terjesztéséhez.

Az elemzésből kiderül, hogy a rosszindulatú programok készítői 17 parancsot töröltek az előző iterációból, miközben öt újat vezettek be:

• Destroyo: távolítson el egy adott alkalmazást
• Permdrawover: kérjen „Drawing Over” engedélyt
• Átfedés beállítása: fekete képernyő fedvény alkalmazása
• Take_scr: képernyőkép készítése
• Update_sec: frissítse a felhasználói titkot

Különösen aggodalomra ad okot a „setoverlay” parancs, amely lehetővé teszi a távoli támadók számára, hogy megtévesztő manővereket hajtsanak végre, például lezárt vagy kikapcsolt képernyőt jelenítsenek meg, hogy elfedjék a fenyegető tevékenységeket, például a háttérben előforduló jogosulatlan pénzátutalásokat.

Az újonnan hozzáadott képernyőképek rögzítési képessége jelentős fejlesztést jelent, új módszert kínálva a fenyegetés szereplőinek az érzékeny információk kinyerésére a veszélyeztetett eszközökről.

A Medusa üzemeltetői kiterjesztik fókuszukat

Úgy tűnik, hogy a Medusa mobilbanki trójai művelet kiszélesíti a fókuszát, és lopakodóbb taktikát alkalmaz, megnyitva az utat a nagyobb léptékű bevetés és az áldozatok számának növekedése előtt. Noha a kutatók még nem azonosították a Google Playen található dropper alkalmazásokat, a kiberbűnözők növekvő részvétele a Malware-as-a-Service (MaaS) programban azt sugallja, hogy a terjesztési stratégiák valószínűleg változatosabbak és kifinomultabbak lesznek.