Medusa 모바일 악성코드

Medusa 뱅킹 트로이 목마는 프랑스, 이탈리아, 미국, 캐나다, 스페인, 영국 및 터키를 포함한 국가를 대상으로 은밀한 프로필을 유지한 지 약 1년 만에 다시 나타났습니다. 5월부터 모니터링된 이 새로운 활동에는 더 적은 권한을 요구하는 간소화된 변종과 손상된 장치에서 직접 거래를 시작하는 것을 목표로 하는 새로운 기능 도입이 포함됩니다.

TangleBot이라고도 불리는 Medusa 뱅킹 트로이목마는 2020년에 발견된 Android MaaS(Malware-as-a-Service)입니다. 이 악성코드는 키로깅, 화면 조작, SMS 제어와 같은 기능을 제공합니다. 동일한 이름을 공유함에도 불구하고 이 작업은 DDoS(분산 서비스 거부) 공격으로 알려진 랜섬웨어 그룹 및 Mirai 기반 봇넷과 다릅니다.

Medusa 모바일 악성 코드를 배포하는 위협적인 캠페인

최신 Medusa 변종의 첫 목격은 2023년 7월로 거슬러 올라갑니다. 당시 연구원들은 드로퍼 애플리케이션을 통해 악성코드를 배포하기 위해 SMS 피싱('스미싱')을 활용하는 캠페인에서 이를 관찰했습니다. 이러한 변종을 사용하는 총 24개의 캠페인이 식별되었으며, 각각은 유해한 애플리케이션을 전달하는 5개의 개별 봇넷(UNKN, AFETZEDE, ANAKONDA, PEMBE 및 TONY)과 연결되어 있습니다.

UNKN 봇넷은 유럽 국가, 특히 프랑스, 이탈리아, 스페인 및 영국을 표적으로 삼는 특정 위협 행위자 그룹에 의해 운영됩니다. 이러한 공격에 사용된 최근 드로퍼 애플리케이션은 다음과 같습니다.

• 위조된 Chrome 브라우저.
• 알려진 5G 연결 애플리케이션입니다.
• 4K Sports라는 가짜 스트리밍 애플리케이션입니다.

4K Sports 애플리케이션을 미끼로 선택한 것은 현재 진행 중인 UEFA EURO 2024 챔피언십과 일치하여 시기적절한 미끼가 되었습니다.

전문가들은 이러한 모든 캠페인과 봇넷이 공개적으로 접근 가능한 소셜 미디어 프로필에서 명령 및 제어(C2) 서버 URL을 동적으로 검색하는 Medusa의 중앙 인프라를 통해 관리된다는 점에 주목합니다.

Medusa Malware 버전의 새로운 수정 사항

Medusa 악성 코드의 제작자는 필요한 권한 수를 줄여 손상된 장치에 미치는 영향을 최소화하기로 결정했습니다. 하지만 여전히 Android 접근성 서비스가 필요합니다. 이러한 감소에도 불구하고 악성코드는 피해자의 연락처 목록에 액세스하고 SMS 메시지를 보내는 능력을 유지하며 이는 여전히 배포에 중요한 방법입니다.

분석에 따르면 악성코드 작성자는 이전 반복에서 17개의 명령을 제거하고 5개의 새로운 명령을 도입했습니다.

• Destroyo: 특정 애플리케이션을 제거합니다.
• Permdrawover: '다시 그리기' 권한을 요청합니다.
• Setoverlay: 검은색 화면 오버레이 적용
• Take_scr: 스크린샷 캡처
• Update_sec: 사용자 비밀번호 업데이트

특히 우려되는 것은 'setoverlay' 명령입니다. 이 명령을 사용하면 원격 공격자가 잠긴 화면이나 전원이 꺼진 화면을 표시하여 백그라운드에서 발생하는 무단 자금 이체와 같은 위협적인 활동을 모호하게 하는 등 기만적인 동작을 실행할 수 있습니다.

스크린샷을 캡처하는 새로 추가된 기능은 위협 행위자에게 손상된 장치에서 중요한 정보를 추출할 수 있는 새로운 방법을 제공함으로써 크게 향상되었습니다.

Medusa의 오퍼레이터는 초점을 확장하고 있습니다.

Medusa 모바일 뱅킹 트로이 목마 작전은 범위를 확대하고 더 은밀한 전술을 채택하여 대규모 배포와 피해자 수 증가의 길을 닦는 것으로 보입니다. 연구자들은 아직 Google Play에서 드로퍼 앱을 식별하지 못했지만 MaaS(Malware-as-a-Service)에 사이버 범죄자의 참여가 증가함에 따라 배포 전략이 더욱 다양하고 정교해질 것으로 예상됩니다.