Medusa Mobile Malware

Troianul bancar Medusa a reapărut după aproape un an de menținere a unui profil mai scăzut, vizând țări precum Franța, Italia, Statele Unite ale Americii, Canada, Spania, Regatul Unit și Turcia. Această activitate reînnoită, monitorizată din luna mai, implică variante optimizate care necesită mai puține permisiuni și introducerea de noi funcționalități menite să inițieze tranzacțiile direct de pe dispozitivele compromise.

Denumit și TangleBot, troianul bancar Medusa este un Android Malware-as-a-Service (MaaS) descoperit în 2020. Acest malware oferă capabilități precum înregistrarea tastelor, manipularea ecranului și controlul prin SMS. În ciuda faptului că are același nume, această operațiune este diferită de grupul de ransomware și de botnet-ul bazat pe Mirai , cunoscut pentru atacurile Distributed Denial-of-Service (DDoS).

Campanii amenințătoare de implementare a programului malware Medusa Mobile

Primele descoperiri ale celor mai recente variante Medusa datează din iulie 2023, când cercetătorii le-au observat în campanii care foloseau phishing prin SMS („smishing”) pentru a distribui malware prin aplicații dropper. Au fost identificate un total de 24 de campanii care folosesc aceste variante, legate la cinci botnet-uri distincte (UNKN, AFETZEDE, ANAKONDA, PEMBE și TONY), fiecare responsabilă pentru furnizarea de aplicații dăunătoare.

Rețeaua botnet UNKN este operată de un grup specific de actori ai amenințărilor concentrați pe țintirea țărilor europene, în special Franța, Italia, Spania și Marea Britanie. Aplicațiile dropper recente utilizate în aceste atacuri includ:

• Un browser Chrome contrafăcut.
• O pretinsă aplicație de conectivitate 5G.
• O aplicație de streaming falsă numită 4K Sports.

Alegerea aplicației 4K Sports ca momeală coincide cu campionatul UEFA EURO 2024 în curs de desfășurare, ceea ce o face o momeală în timp util.

Experții observă că toate aceste campanii și rețele botnet sunt gestionate prin infrastructura centrală Medusa, care preia în mod dinamic adresele URL ale serverului Command-and-Control (C2) din profilurile de social media accesibile public.

Noi modificări în versiunile Medusa Malware

Creatorii malware-ului Medusa au optat să minimizeze impactul acestuia asupra dispozitivelor compromise prin reducerea numărului de permisiuni de care are nevoie, deși necesită încă serviciile de accesibilitate Android. În ciuda acestei reduceri, malware-ul își păstrează capacitatea de a accesa lista de contacte a victimei și de a trimite mesaje SMS, care rămâne o metodă critică pentru distribuirea sa.

Analiza dezvăluie că autorii de malware au eliminat 17 comenzi din iterația sa anterioară, introducând cinci noi:

• Destroyo: dezinstalează o anumită aplicație
• Permdrawover: solicitați permisiunea „Drawing Over”.
• Setoverlay: aplicați o suprapunere neagră a ecranului
• Take_scr: faceți o captură de ecran
• Update_sec: actualizați secretul utilizatorului

O preocupare deosebită este comanda „setoverlay”, care permite atacatorilor de la distanță să execute manevre înșelătoare, cum ar fi afișarea unui ecran blocat sau oprit pentru a ascunde activitățile amenințătoare, cum ar fi transferurile de fonduri neautorizate care au loc în fundal.

Capacitatea nou adăugată de a capta capturi de ecran reprezintă o îmbunătățire semnificativă, oferind actorilor amenințărilor o metodă nouă de a extrage informații sensibile de pe dispozitivele compromise.

Operatorii Medusei își extind atenția

Operațiunea troiană bancară mobilă Medusa pare să-și extindă atenția și să adopte tactici mai furtive, deschizând calea pentru o implementare la scară mai mare și un număr crescut de victime. Deși cercetătorii nu au identificat încă niciuna dintre aplicațiile dropper de pe Google Play, participarea tot mai mare a infractorilor cibernetici la Malware-as-a-Service (MaaS) sugerează că strategiile de distribuție vor deveni probabil mai diverse și mai sofisticate.