Złośliwe oprogramowanie mobilne Medusa
Trojan bankowy Medusa pojawił się ponownie po prawie roku utrzymywania się w mniejszym gronie, atakując takie kraje, jak Francja, Włochy, Stany Zjednoczone, Kanada, Hiszpania, Wielka Brytania i Turcja. To wznowione działanie, monitorowane od maja, obejmuje usprawnione warianty wymagające mniejszej liczby uprawnień i wprowadzenie nowych funkcjonalności mających na celu inicjowanie transakcji bezpośrednio z zaatakowanych urządzeń.
Trojan bankowy Medusa , nazywany także TangleBot, jest złośliwym oprogramowaniem jako usługą dla systemu Android (MaaS) wykrytym w 2020 roku. Szkodnik ten oferuje takie możliwości, jak rejestrowanie klawiszy, manipulowanie ekranem i kontrola SMS-ami. Pomimo tej samej nazwy operacja ta różni się od grupy ransomware i botnetu opartego na Mirai , znanego z ataków Distributed Denial-of-Service (DDoS).
Spis treści
Groźne kampanie wdrażające złośliwe oprogramowanie Medusa Mobile
Pierwsze obserwacje najnowszych wariantów Meduzy datowane są na lipiec 2023 r., kiedy badacze zaobserwowali je w kampaniach wykorzystujących phishing SMS („smishing”) w celu dystrybucji złośliwego oprogramowania za pośrednictwem aplikacji dropperów. W sumie zidentyfikowano 24 kampanie wykorzystujące te warianty, powiązane z pięcioma odrębnymi botnetami (UNKN, AFETZEDE, ANAKONDA, PEMBE i TONY), z których każdy jest odpowiedzialny za dostarczanie szkodliwych aplikacji.
Botnet UNKN jest obsługiwany przez określoną grupę podmiotów zagrażających, których celem są kraje europejskie, w szczególności Francja, Włochy, Hiszpania i Wielka Brytania. Do najnowszych aplikacji dropperów wykorzystywanych w tych atakach należą:
- Fałszywa przeglądarka Chrome.
- Rzekoma aplikacja umożliwiająca łączność 5G.
- Fałszywa aplikacja do przesyłania strumieniowego o nazwie 4K Sports.
Wybór aplikacji 4K Sports jako przynęty zbiega się z trwającymi mistrzostwami UEFA EURO 2024, dzięki czemu jest to przynęta na czasie.
Eksperci zauważają, że wszystkimi tymi kampaniami i botnetami zarządza się za pośrednictwem centralnej infrastruktury Meduzy, która dynamicznie pobiera adresy URL serwerów dowodzenia i kontroli (C2) z publicznie dostępnych profili w mediach społecznościowych.
Nowe modyfikacje w wersjach złośliwego oprogramowania Medusa
Twórcy szkodliwego oprogramowania Medusa zdecydowali się zminimalizować jego wpływ na zaatakowane urządzenia, zmniejszając liczbę wymaganych uprawnień, chociaż nadal wymaga to usług ułatwień dostępu Androida. Pomimo tej redukcji szkodliwe oprogramowanie zachowuje zdolność uzyskiwania dostępu do listy kontaktów ofiary i wysyłania wiadomości SMS, co pozostaje kluczową metodą jego dystrybucji.
Analiza pokazuje, że autorzy szkodliwego oprogramowania usunęli 17 poleceń z jego poprzedniej wersji, wprowadzając pięć nowych:
- Destroyo: odinstaluj określoną aplikację
- Permdrawover: poproś o pozwolenie na przeciągnięcie
- Setoverlay: zastosuj nakładkę czarnego ekranu
- Take_scr: zrób zrzut ekranu
- Update_sec: zaktualizuj sekret użytkownika
Szczególne obawy budzi polecenie „setoverlay”, które umożliwia zdalnym atakującym wykonywanie zwodniczych manewrów, takich jak wyświetlanie zablokowanego lub wyłączonego ekranu, aby ukryć groźne działania, takie jak nieautoryzowane transfery środków odbywające się w tle.
Nowo dodana możliwość przechwytywania zrzutów ekranu stanowi znaczące ulepszenie, zapewniając cyberprzestępcom nową metodę wydobywania poufnych informacji z zaatakowanych urządzeń.
Operatorzy Meduzy skupiają się coraz bardziej na sobie
Wydaje się, że operacja trojana bankowości mobilnej Medusa poszerza swój zakres i przyjmuje bardziej ukryte taktyki, torując drogę do wdrożenia na większą skalę i zwiększonej liczby ofiar. Chociaż badacze nie zidentyfikowali jeszcze żadnej aplikacji dropper w Google Play, rosnący udział cyberprzestępców w Malware-as-a-Service (MaaS) sugeruje, że strategie dystrybucji prawdopodobnie staną się bardziej zróżnicowane i wyrafinowane.
