Medusa Mobile kenkėjiška programa
„Medusa“ bankininkystės Trojos arklys vėl pasirodė po beveik metus trukusio žemesnio profilio, nukreipto į šalis, įskaitant Prancūziją, Italiją, JAV, Kanadą, Ispaniją, Jungtinę Karalystę ir Turkiją. Ši atnaujinta veikla, stebima nuo gegužės mėn., apima supaprastintus variantus, kuriems reikia mažiau leidimų, ir naujų funkcijų, skirtų inicijuoti operacijas tiesiogiai iš pažeistų įrenginių.
Taip pat vadinamas „TangleBot“, „ Medusa“ bankininkystės Trojos arklys yra „Android“ kenkėjiška programa kaip paslauga (MaaS), atrasta 2020 m. Ši kenkėjiška programa siūlo tokias funkcijas kaip klaviatūros registravimas, ekrano manipuliavimas ir SMS valdymas. Nepaisant to paties pavadinimo, ši operacija skiriasi nuo išpirkos reikalaujančių programų grupės ir „Mirai“ pagrindu veikiančio robotų tinklo, žinomo dėl paskirstytų paslaugų atsisakymo (DDoS) atakų.
Turinys
Grėsmingos kampanijos, diegiančios Medusa Mobile kenkėjišką programą
Pirmieji naujausių Medusa variantų pastebėjimai datuojami 2023 m. liepos mėn., kai mokslininkai juos stebėjo kampanijose, kuriose buvo naudojamas SMS sukčiavimas (angl. mishing), siekiant platinti kenkėjiškas programas per dropper programas. Iš viso buvo nustatytos 24 kampanijos, kuriose naudojami šie variantai, susietos su penkiais skirtingais robotų tinklais (UNKN, AFETZEDE, ANAKONDA, PEMBE ir TONY), kurių kiekvienas atsakingas už kenksmingų programų teikimą.
UNKN botnetą valdo tam tikra grėsmės subjektų grupė, orientuota į Europos šalis, ypač Prancūziją, Italiją, Ispaniją ir JK. Šiose atakose naudojamos naujausios lašintuvų programos:
- Suklastota Chrome naršyklė.
- Tariama 5G ryšio programa.
- Suklastota srautinio perdavimo programa, pavadinta 4K Sports.
4K Sports aplikacijos pasirinkimas kaip masalas sutampa su vykstančiu UEFA EURO 2024 čempionatu, todėl tai yra savalaikis masalas.
Ekspertai pažymi, kad visos šios kampanijos ir robotų tinklai yra valdomi per Medusa centrinę infrastruktūrą, kuri dinamiškai nuskaito komandų ir valdymo (C2) serverio URL adresus iš viešai prieinamų socialinės žiniasklaidos profilių.
Nauji Medusa kenkėjiškų programų versijų pakeitimai
Kenkėjiškos programinės įrangos „Medusa“ kūrėjai nusprendė sumažinti jos poveikį pažeistiems įrenginiams, sumažindami jai reikalingų leidimų skaičių, nors tam vis tiek reikia „Android“ pritaikymo neįgaliesiems paslaugų. Nepaisant šio sumažėjimo, kenkėjiška programa išlaiko galimybę pasiekti aukos kontaktų sąrašą ir siųsti SMS žinutes, o tai išlieka labai svarbiu jos platinimo metodu.
Analizė atskleidžia, kad kenkėjiškų programų autoriai pašalino 17 komandų iš ankstesnės iteracijos ir pristatė penkias naujas:
- Destroyo: pašalinkite konkrečią programą
- Permdrawover: paprašykite leidimo „Drawing Over“.
- Nustatyti perdangą: pritaikykite juodo ekrano perdangą
- Take_scr: užfiksuokite ekrano kopiją
- Update_sec: atnaujinkite vartotojo paslaptį
Ypatingą susirūpinimą kelia komanda „setoverlay“, kuri leidžia nuotoliniams užpuolikams atlikti apgaulingus manevrus, pvz., rodyti užrakintą arba išjungtą ekraną, kad būtų užgožta grėsminga veikla, pvz., fone vykstantys neteisėti lėšų pervedimai.
Naujai pridėta galimybė užfiksuoti ekrano kopijas yra reikšmingas patobulinimas, suteikiantis grėsmių subjektams naują metodą, leidžiantį išgauti jautrią informaciją iš pažeistų įrenginių.
„Medusa“ operatoriai plečia savo dėmesį
Panašu, kad „Medusa“ mobiliosios bankininkystės Trojos arklys plečia savo dėmesį ir imasi slaptesnės taktikos, atverdama kelią platesnio masto diegimui ir didesniam aukų skaičiui. Nors mokslininkai dar nenustatė nė vienos iš „Google Play“ skirtų „dropper“ programėlių, vis didėjantis kibernetinių nusikaltėlių dalyvavimas programoje „Malware-as-a-Service“ (MaaS) rodo, kad platinimo strategijos greičiausiai taps įvairesnės ir sudėtingesnės.
