Perisian Hasad Mudah Alih Medusa
Trojan perbankan Medusa telah muncul semula selepas hampir setahun mengekalkan profil rendah, menyasarkan negara termasuk Perancis, Itali, Amerika Syarikat, Kanada, Sepanyol, United Kingdom dan Turki. Aktiviti yang diperbaharui ini, dipantau sejak Mei, melibatkan varian diperkemas yang memerlukan kebenaran yang lebih sedikit dan memperkenalkan fungsi baharu yang bertujuan untuk memulakan transaksi terus daripada peranti yang terjejas.
Juga dirujuk sebagai TangleBot, Trojan perbankan Medusa ialah Android Malware-as-a-Service (MaaS) yang ditemui pada tahun 2020. Malware ini menawarkan keupayaan seperti pengelogan kunci, manipulasi skrin dan kawalan SMS. Walaupun berkongsi nama yang sama, operasi ini berbeza daripada kumpulan perisian tebusan dan botnet berasaskan Mirai yang terkenal dengan serangan Penafian Perkhidmatan (DDoS) Teragih.
Isi kandungan
Kempen Mengancam Menggunakan Perisian Mudah Alih Medusa
Penampakan pertama varian Medusa terbaharu bermula pada Julai 2023, apabila penyelidik memerhatikannya dalam kempen yang memanfaatkan pancingan data SMS ('smishing') untuk mengedarkan perisian hasad melalui aplikasi penitis. Sebanyak 24 kempen yang menggunakan varian ini telah dikenal pasti, dipautkan kepada lima botnet yang berbeza (UNKN, AFETZEDE, ANAKONDA, PEMBE dan TONY), masing-masing bertanggungjawab untuk menyampaikan aplikasi berbahaya.
Botnet UNKN dikendalikan oleh sekumpulan pelaku ancaman khusus yang menumpukan pada sasaran negara Eropah, khususnya Perancis, Itali, Sepanyol dan UK. Aplikasi penitis terkini yang digunakan dalam serangan ini termasuk:
- Pelayar Chrome tiruan.
- Aplikasi sambungan 5G yang dikatakan.
- Aplikasi penstriman palsu bernama 4K Sports.
Pilihan aplikasi Sukan 4K sebagai umpan bertepatan dengan kejohanan UEFA EURO 2024 yang sedang berlangsung, menjadikannya tarikan tepat pada masanya.
Pakar ambil perhatian bahawa semua kempen dan botnet ini diuruskan melalui infrastruktur pusat Medusa, yang secara dinamik mendapatkan semula URL pelayan Command-and-Control (C2) daripada profil media sosial yang boleh diakses secara umum.
Pengubahsuaian Baharu dalam Versi Malware Medusa
Pencipta perisian hasad Medusa telah memilih untuk meminimumkan kesannya pada peranti yang terjejas dengan mengurangkan bilangan kebenaran yang diperlukan, walaupun ia masih memerlukan Perkhidmatan Kebolehcapaian Android. Walaupun pengurangan ini, perisian hasad mengekalkan keupayaannya untuk mengakses senarai kenalan mangsa dan menghantar mesej SMS, yang kekal sebagai kaedah kritikal untuk pengedarannya.
Analisis mendedahkan bahawa pengarang perisian hasad telah menghapuskan 17 arahan daripada lelaran sebelumnya sambil memperkenalkan lima arahan baharu:
- Destroyo: nyahpasang aplikasi tertentu
- Permdrawover: minta kebenaran 'Drawing Over'
- Setoverlay: gunakan tindanan skrin hitam
- Take_scr: tangkap tangkapan skrin
- Update_sec: kemas kini rahsia pengguna
Kebimbangan khusus ialah arahan 'setoverlay', yang membolehkan penyerang jauh melakukan gerakan menipu seperti memaparkan skrin terkunci atau dimatikan untuk mengaburkan aktiviti mengancam seperti pemindahan dana tanpa kebenaran yang berlaku di latar belakang.
Keupayaan yang baru ditambah untuk menangkap tangkapan skrin mewakili peningkatan yang ketara, memberikan pelakon ancaman kaedah baharu untuk mengekstrak maklumat sensitif daripada peranti yang terjejas.
Pengendali Medusa Meluaskan Fokus Mereka
Operasi Trojan perbankan mudah alih Medusa nampaknya meluaskan fokusnya dan mengguna pakai taktik yang lebih senyap, membuka jalan untuk penggunaan berskala lebih besar dan peningkatan jumlah mangsa. Walaupun penyelidik masih belum mengenal pasti mana-mana apl penitis di Google Play, penyertaan penjenayah siber yang semakin meningkat dalam Malware-as-a-Service (MaaS) menunjukkan bahawa strategi pengedaran mungkin akan menjadi lebih pelbagai dan canggih.
