Medusa mobil skadelig programvare

Medusa-banktrojaneren har dukket opp igjen etter nesten et år med å opprettholde en lavere profil, og målrettet mot land inkludert Frankrike, Italia, USA, Canada, Spania, Storbritannia og Tyrkia. Denne fornyede aktiviteten, overvåket siden mai, innebærer strømlinjeformede varianter som krever færre tillatelser og introduserer nye funksjoner rettet mot å starte transaksjoner direkte fra kompromitterte enheter.

Medusa -banktrojaneren, også referert til som TangleBot, er en Android Malware-as-a-Service (MaaS) oppdaget i 2020. Denne skadelige programvaren tilbyr funksjoner som tastelogging, skjermmanipulering og SMS-kontroll. Til tross for at den deler samme navn, er denne operasjonen forskjellig fra løsepengevaregruppen og det Mirai -baserte botnettet kjent for DDoS-angrep (Distributed Denial-of-Service).

Truende kampanjer som implementerer Medusa Mobile Malware

De første observasjonene av de siste Medusa-variantene dateres tilbake til juli 2023, da forskere observerte dem i kampanjer som utnyttet SMS-phishing ('smishing') for å distribuere skadelig programvare gjennom dropper-applikasjoner. Totalt 24 kampanjer som bruker disse variantene har blitt identifisert, knyttet til fem forskjellige botnett (UNKN, AFETZEDE, ANAKONDA, PEMBE og TONY), hver ansvarlig for å levere skadelige applikasjoner.

UNKN-botnettet drives av en spesifikk gruppe trusselaktører som fokuserer på å målrette europeiske land, spesielt Frankrike, Italia, Spania og Storbritannia. Nylige dropper-applikasjoner brukt i disse angrepene inkluderer:

• En forfalsket Chrome-nettleser.
• En påstått 5G-tilkoblingsapplikasjon.
• En falsk strømmeapplikasjon kalt 4K Sports.

Valget av 4K Sports-applikasjonen som agn faller sammen med det pågående UEFA EURO 2024-mesterskapet, noe som gjør det til et betimelig lokkemiddel.

Eksperter legger merke til at alle disse kampanjene og botnettene administreres gjennom Medusas sentrale infrastruktur, som dynamisk henter Command-and-Control (C2) server-URLer fra offentlig tilgjengelige sosiale medieprofiler.

Nye modifikasjoner i Medusa Malware-versjoner

Skaperne av Medusa malware har valgt å minimere innvirkningen på kompromitterte enheter ved å redusere antall tillatelser den krever, selv om det fortsatt krever Androids tilgjengelighetstjenester. Til tross for denne reduksjonen, beholder skadevaren sin evne til å få tilgang til offerets kontaktliste og sende SMS-meldinger, noe som fortsatt er en kritisk metode for distribusjon.

Analyse avslører at skadevareforfatterne har eliminert 17 kommandoer fra sin forrige iterasjon mens de introduserte fem nye:

• Destroyo: avinstaller et bestemt program
• Permdrawover: be om tillatelse til å tegne over
• Sett overlegg: påfør et svart skjermoverlegg
• Take_scr: ta et skjermbilde
• Update_sec: oppdater brukerhemmeligheten

Av spesiell bekymring er "setoverlay"-kommandoen, som gjør det mulig for eksterne angripere å utføre villedende manøvrer som å vise en låst eller avslått skjerm for å skjule truende aktiviteter som uautoriserte pengeoverføringer som skjer i bakgrunnen.

Den nylig lagt til muligheten til å ta skjermbilder representerer en betydelig forbedring, og gir trusselaktører en fersk metode for å trekke ut sensitiv informasjon fra kompromitterte enheter.

Medusas operatører utvider sitt fokus

Medusa mobile banking Trojan-operasjonen ser ut til å utvide fokuset og ta i bruk snikere taktikker, og baner vei for større utplassering og et økt antall ofre. Mens forskere ennå ikke har identifisert noen av dropper-appene på Google Play, antyder den økende deltakelsen av nettkriminelle i Malware-as-a-Service (MaaS) at distribusjonsstrategier sannsynligvis vil bli mer mangfoldige og sofistikerte.