Medusa Mobile ļaunprātīga programmatūra
Medusa banku Trojas zirgs ir atkal parādījies pēc gandrīz gadu ilgas zemāka profila saglabāšanas, mērķējot uz valstīm, tostarp Franciju, Itāliju, ASV, Kanādu, Spāniju, Apvienoto Karalisti un Turciju. Šī atjaunotā darbība, kas tiek pārraudzīta kopš maija, ietver racionalizētus variantus, kuriem nepieciešams mazāk atļauju, un jaunu funkcionalitātes ieviešanu, kuras mērķis ir uzsākt darījumus tieši no apdraudētām ierīcēm.
Medusa banku Trojas zirgs, saukts arī par TangleBot, ir 2020. gadā atklāta Android ļaunprātīga programmatūra (MaaS). Šī ļaunprogrammatūra piedāvā tādas iespējas kā taustiņu reģistrēšana, ekrāna manipulācijas un SMS vadība. Neskatoties uz to, ka nosaukums ir vienāds, šī darbība atšķiras no izspiedējvīrusu grupas un uz Mirai balstītā robottīkla, kas pazīstams ar izplatītiem pakalpojumu atteikuma (DDoS) uzbrukumiem.
Satura rādītājs
Draudi kampaņas, izvietojot Medusa Mobile ļaunprātīgu programmatūru
Pirmie jaunākie Medusa varianti tika novēroti 2023. gada jūlijā, kad pētnieki tos novēroja kampaņās, kurās izmantoja SMS pikšķerēšanu (“smishing”), lai izplatītu ļaunprātīgu programmatūru, izmantojot pilinātāju lietojumprogrammas. Kopumā ir identificētas 24 kampaņas, kurās tiek izmantoti šie varianti, un tās ir saistītas ar pieciem atšķirīgiem robottīkliem (UNKN, AFETZEDE, ANAKONDA, PEMBE un TONY), un katrs no tiem ir atbildīgs par kaitīgu lietojumprogrammu piegādi.
UNKN robottīklu pārvalda īpaša apdraudējuma dalībnieku grupa, kas koncentrējas uz Eiropas valstīm, jo īpaši Franciju, Itāliju, Spāniju un Apvienoto Karalisti. Jaunākās šajos uzbrukumos izmantotās pilinātāju lietojumprogrammas ir šādas:
- Viltota Chrome pārlūkprogramma.
- Iespējamā 5G savienojuma lietojumprogramma.
- Viltus straumēšanas lietojumprogramma ar nosaukumu 4K Sports.
Lietojumprogrammas 4K Sports izvēle kā ēsma sakrīt ar notiekošo UEFA EURO 2024 čempionātu, padarot to par savlaicīgu vilinājumu.
Eksperti atzīmē, ka visas šīs kampaņas un robottīkli tiek pārvaldīti, izmantojot Medusa centrālo infrastruktūru, kas dinamiski izgūst Command-and-Control (C2) servera URL no publiski pieejamiem sociālo mediju profiliem.
Jaunas modifikācijas Medusa ļaunprātīgas programmatūras versijās
Medusa ļaunprogrammatūras veidotāji ir izvēlējušies samazināt tās ietekmi uz apdraudētām ierīcēm, samazinot tai nepieciešamo atļauju skaitu, lai gan tam joprojām ir nepieciešami Android pieejamības pakalpojumi. Neskatoties uz šo samazinājumu, ļaunprogrammatūra saglabā spēju piekļūt upura kontaktpersonu sarakstam un sūtīt SMS, kas joprojām ir būtiska tās izplatīšanas metode.
Analīze atklāj, ka ļaunprātīgas programmatūras autori ir izslēguši 17 komandas no iepriekšējās iterācijas, vienlaikus ieviešot piecas jaunas:
- Destroyo: atinstalējiet noteiktu lietojumprogrammu
- Permdrawover: pieprasiet "Drawing Over" atļauju
- Iestatīt pārklājumu: izmantojiet melna ekrāna pārklājumu
- Take_scr: uzņemiet ekrānuzņēmumu
- Update_sec: atjauniniet lietotāja noslēpumu
Īpašas bažas rada komanda “setoverlay”, kas ļauj attāliem uzbrucējiem veikt maldinošus manevrus, piemēram, parādīt bloķētu vai izslēgtu ekrānu, lai aizēnotu draudošās darbības, piemēram, nesankcionētu līdzekļu pārskaitījumu, kas notiek fonā.
Tikko pievienotā iespēja uzņemt ekrānuzņēmumus ir būtisks uzlabojums, nodrošinot apdraudējuma dalībniekiem jaunu metodi sensitīvas informācijas iegūšanai no apdraudētām ierīcēm.
Medusa operatori paplašina savu uzmanību
Šķiet, ka Medusa mobilās bankas Trojas zirgs paplašina savu uzmanību un pieņem slepenāku taktiku, paverot ceļu plašākai izvēršanai un pieaugošam upuru skaitam. Lai gan pētnieki vēl nav identificējuši nevienu no lietotnēm pakalpojumā Google Play, pieaugošā kibernoziedznieku dalība pakalpojumā Malware-as-a-Service (MaaS) liecina, ka izplatīšanas stratēģijas, visticamāk, kļūs daudzveidīgākas un izsmalcinātākas.
