Medusa mobiele malware
De banktrojan Medusa is na bijna een jaar van lagere bekendheid weer opgedoken en richt zich op landen als Frankrijk, Italië, de Verenigde Staten, Canada, Spanje, het Verenigd Koninkrijk en Turkije. Deze hernieuwde activiteit, die sinds mei wordt gevolgd, omvat gestroomlijnde varianten waarvoor minder rechten nodig zijn en de introductie van nieuwe functionaliteiten gericht op het rechtstreeks initiëren van transacties vanaf gecompromitteerde apparaten.
De Medusa banking Trojan, ook wel TangleBot genoemd, is een Android Malware-as-a-Service (MaaS) die in 2020 werd ontdekt. Deze malware biedt mogelijkheden zoals keylogging, schermmanipulatie en sms-controle. Ondanks dat deze operatie dezelfde naam heeft, onderscheidt deze operatie zich van de ransomwaregroep en het op Mirai gebaseerde botnet dat bekend staat om Distributed Denial-of-Service (DDoS)-aanvallen.
Inhoudsopgave
Bedreigende campagnes waarbij de mobiele malware Medusa wordt ingezet
De eerste waarnemingen van de nieuwste Medusa-varianten dateren uit juli 2023, toen onderzoekers ze observeerden in campagnes waarbij gebruik werd gemaakt van sms-phishing ('smishing') om malware te verspreiden via dropper-applicaties. Er zijn in totaal 24 campagnes geïdentificeerd die gebruik maken van deze varianten, gekoppeld aan vijf verschillende botnets (UNKN, AFETZEDE, ANAKONDA, PEMBE en TONY), die elk verantwoordelijk zijn voor het leveren van schadelijke applicaties.
Het UNKN-botnet wordt beheerd door een specifieke groep dreigingsactoren die zich richten op Europese landen, met name Frankrijk, Italië, Spanje en het Verenigd Koninkrijk. Recente dropper-applicaties die bij deze aanvallen zijn gebruikt, zijn onder meer:
- Een valse Chrome-browser.
- Een vermeende 5G-connectiviteitstoepassing.
- Een nep-streamingapplicatie genaamd 4K Sports.
De keuze voor de 4K Sports-applicatie als aas valt samen met het lopende UEFA EURO 2024-kampioenschap, waardoor het een actueel lokmiddel is.
Deskundigen merken op dat al deze campagnes en botnets worden beheerd via de centrale infrastructuur van Medusa, die op dynamische wijze Command-and-Control (C2)-server-URL's ophaalt uit openbaar toegankelijke sociale-mediaprofielen.
Nieuwe wijzigingen in de Medusa-malwareversies
De makers van de Medusa-malware hebben ervoor gekozen om de impact ervan op gecompromitteerde apparaten te minimaliseren door het aantal vereiste machtigingen te verminderen, hoewel hiervoor nog steeds de toegankelijkheidsservices van Android nodig zijn. Ondanks deze vermindering behoudt de malware zijn vermogen om toegang te krijgen tot de contactenlijst van het slachtoffer en sms-berichten te verzenden, wat een cruciale methode blijft voor de verspreiding ervan.
Uit analyse blijkt dat de malware-auteurs 17 opdrachten uit de vorige iteratie hebben geëlimineerd, terwijl ze vijf nieuwe hebben geïntroduceerd:
- Destroyo: verwijder een specifieke applicatie
- Permdrawover: vraag toestemming 'Overtekenen' aan
- Setoverlay: breng een zwarte schermoverlay aan
- Take_scr: maak een screenshot
- Update_sec: update gebruikersgeheim
Van bijzonder belang is het 'setoverlay'-commando, waarmee aanvallers op afstand misleidende manoeuvres kunnen uitvoeren, zoals het weergeven van een vergrendeld of uitgeschakeld scherm, om bedreigende activiteiten zoals ongeautoriseerde geldoverdrachten die op de achtergrond plaatsvinden, te verdoezelen.
De nieuw toegevoegde mogelijkheid om schermafbeeldingen te maken vertegenwoordigt een aanzienlijke verbetering en biedt bedreigingsactoren een nieuwe methode om gevoelige informatie van aangetaste apparaten te extraheren.
Medusa's operators breiden hun focus uit
De Trojaanse operatie Medusa voor mobiel bankieren lijkt zijn focus te verbreden en heimelijkere tactieken toe te passen, waardoor de weg wordt vrijgemaakt voor grootschalige inzet en een groter aantal slachtoffers. Hoewel onderzoekers nog geen dropper-apps op Google Play hebben geïdentificeerd, suggereert de groeiende deelname van cybercriminelen aan Malware-as-a-Service (MaaS) dat distributiestrategieën waarschijnlijk diverser en geavanceerder zullen worden.
