मेडुसा मोबाइल मालवेयर
मेडुसा बैंकिङ ट्रोजन फ्रान्स, इटाली, संयुक्त राज्य अमेरिका, क्यानडा, स्पेन, युनाइटेड किंगडम र टर्की लगायतका देशहरूलाई लक्षित गर्दै, तल्लो प्रोफाइल कायम राखेको लगभग एक वर्ष पछि पुन: देखा परेको छ। मे देखि अनुगमन गरिएको यो नवीकरण गरिएको गतिविधिमा कम अनुमतिहरू आवश्यक पर्ने सुव्यवस्थित भेरियन्टहरू र सम्झौता गरिएका यन्त्रहरूबाट सीधै लेनदेन सुरु गर्ने उद्देश्यले नयाँ कार्यक्षमताहरू समावेश गर्दछ।
TangleBot भनेर पनि चिनिन्छ, Medusa बैंकिङ Trojan सन् २०२० मा पत्ता लागेको एन्ड्रोइड मालवेयर-एज-ए-सर्भिस (MaaS) हो। यो मालवेयरले किलगिङ, स्क्रिन हेरफेर र SMS नियन्त्रण जस्ता क्षमताहरू प्रदान गर्दछ। एउटै नाम साझा गरे तापनि, यो अपरेशन ransomware समूह र Mirai -based botnet बाट अलग छ जुन Distributed Denial-of-Service (DDoS) आक्रमणका लागि परिचित छ।
सामग्रीको तालिका
मेडुसा मोबाइल मालवेयर प्रयोग गर्ने धम्कीपूर्ण अभियानहरू
भर्खरको मेडुसा भेरियन्टहरूका पहिलो दृश्यहरू जुलाई २०२३ को हो, जब अन्वेषकहरूले तिनीहरूलाई ड्रपर अनुप्रयोगहरू मार्फत मालवेयर वितरण गर्न SMS फिसिङ ('स्मिसिङ') को लाभ उठाउने अभियानहरूमा अवलोकन गरे। यी भेरियन्टहरू प्रयोग गर्ने कुल 24 अभियानहरू पहिचान गरिएका छन्, पाँचवटा फरक बोटनेटहरू (UNKN, AFETZEDE, ANAKONDA, PEMBE र TONY) सँग लिङ्क गरिएको छ, प्रत्येक हानिकारक अनुप्रयोगहरू प्रदान गर्न जिम्मेवार छन्।
UNKN बोटनेट युरोपेली देशहरू, विशेष गरी फ्रान्स, इटाली, स्पेन र यूकेलाई लक्षित गर्नमा केन्द्रित खतरा अभिनेताहरूको एक विशेष समूहद्वारा संचालित छ। यी आक्रमणहरूमा प्रयोग गरिएका भर्खरका ड्रपर अनुप्रयोगहरू समावेश छन्:
- नक्कली क्रोम ब्राउजर।
- एक कथित 5G जडान अनुप्रयोग।
- 4K खेल नामक नक्कली स्ट्रिमिङ अनुप्रयोग।
4K खेलकुद एप्लिकेसनको चाराको रूपमा छनोट चलिरहेको UEFA EURO 2024 च्याम्पियनशिपसँग मेल खान्छ, यसलाई समयमै प्रलोभन बनाउँछ।
विज्ञहरूले नोट गर्छन् कि यी सबै अभियानहरू र बोटनेटहरू मेडुसाको केन्द्रीय पूर्वाधार मार्फत व्यवस्थित हुन्छन्, जसले गतिशील रूपमा सार्वजनिक रूपमा पहुँचयोग्य सामाजिक मिडिया प्रोफाइलहरूबाट कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भर URL हरू पुन: प्राप्त गर्दछ।
मेडुसा मालवेयर संस्करणहरूमा नयाँ परिमार्जनहरू
मेडुसा मालवेयरका सिर्जनाकर्ताहरूले यसलाई आवश्यक पर्ने अनुमतिहरूको संख्या घटाएर सम्झौता गरिएका उपकरणहरूमा यसको प्रभावलाई कम गर्न रोजेका छन्, यद्यपि यो अझै पनि एन्ड्रोइडको पहुँच सेवाहरू आवश्यक छ। यस कमीको बावजुद, मालवेयरले पीडितको सम्पर्क सूचीमा पहुँच गर्न र एसएमएस सन्देशहरू पठाउने क्षमतालाई कायम राख्छ, जुन यसको वितरणको लागि महत्वपूर्ण विधि हो।
विश्लेषणले बताउँछ कि मालवेयर लेखकहरूले यसको अघिल्लो पुनरावृत्तिबाट 17 आदेशहरू हटाएका छन् जबकि पाँच नयाँहरू परिचय गराउँछन्:
- Destroyo: एक विशिष्ट अनुप्रयोग स्थापना रद्द गर्नुहोस्
- Permdrawover: 'ड्राइंग ओभर' अनुमति अनुरोध गर्नुहोस्
- सेटओभरले: कालो स्क्रिन ओभरले लागू गर्नुहोस्
- Take_scr: स्क्रिनसट खिच्नुहोस्
- Update_sec: प्रयोगकर्ता गोप्य अपडेट गर्नुहोस्
विशेष चिन्ताको विषय भनेको 'सेटओभरले' कमाण्ड हो, जसले रिमोट आक्रमणकारीहरूलाई भ्रामक चालहरू कार्यान्वयन गर्न सक्षम बनाउँछ जस्तै लक गरिएको वा पावर-अफ स्क्रिन प्रदर्शन गर्ने धम्कीपूर्ण गतिविधिहरू जस्तै पृष्ठभूमिमा हुने अनधिकृत कोष स्थानान्तरणहरू।
स्क्रिनसटहरू क्याप्चर गर्न नयाँ थपिएको क्षमताले महत्त्वपूर्ण वृद्धिलाई प्रतिनिधित्व गर्दछ, जसले खतरा अभिनेताहरूलाई सम्झौता गरिएका उपकरणहरूबाट संवेदनशील जानकारी निकाल्न नयाँ विधि प्रदान गर्दछ।
मेडुसाका अपरेटरहरूले आफ्नो फोकस विस्तार गर्दैछन्
मेडुसा मोबाइल बैंकिङ ट्रोजन अपरेसनले आफ्नो फोकसलाई फराकिलो बनाउँदै र ठूला-ठूला तैनाथीको लागि मार्ग प्रशस्त गर्ने र पीडितहरूको बढ्दो संख्यामा लुकेका रणनीतिहरू अपनाइरहेको देखिन्छ। जबकि अन्वेषकहरूले Google Play मा ड्रपर एपहरू मध्ये कुनै पनि पहिचान गरेका छैनन्, मालवेयर-ए-ए-सर्भिस (MaaS) मा साइबर अपराधीहरूको बढ्दो सहभागिताले वितरण रणनीतिहरू सम्भवतः अधिक विविध र परिष्कृत हुने सुझाव दिन्छ।
