Мобильное вредоносное ПО Medusa
Банковский троян Medusa вновь появился после почти года скрытности и нацелен на такие страны, как Франция, Италия, США, Канада, Испания, Великобритания и Турция. Эта возобновленная деятельность, отслеживаемая с мая, включает в себя оптимизированные варианты, требующие меньшего количества разрешений и вводящие новые функции, направленные на инициацию транзакций непосредственно со скомпрометированных устройств.
Банковский троян Medusa , также известный как TangleBot, представляет собой вредоносное ПО как услугу для Android (MaaS), обнаруженное в 2020 году. Это вредоносное ПО предлагает такие возможности, как кейлоггинг, манипулирование экраном и управление через SMS. Несмотря на одно и то же название, эта операция отличается от группы программ-вымогателей и ботнета на базе Mirai , известного своими распределенными атаками типа «отказ в обслуживании» (DDoS).
Оглавление
Кампании по угрозам, использующие мобильное вредоносное ПО Medusa
Первые случаи появления последних вариантов Medusa датируются июлем 2023 года, когда исследователи наблюдали их в кампаниях, использующих SMS-фишинг («смишинг») для распространения вредоносного ПО через приложения-дропперы. Всего было выявлено 24 кампании, использующие эти варианты, связанные с пятью отдельными ботнетами (UNKN, AFETZEDE, ANAKONDA, PEMBE и TONY), каждый из которых отвечает за доставку вредоносных приложений.
Ботнет UNKN управляется определенной группой злоумышленников, ориентированных на европейские страны, в частности Францию, Италию, Испанию и Великобританию. Недавние приложения-дропы, использованные в этих атаках, включают:
- Поддельный браузер Chrome.
- Предполагаемое приложение для подключения 5G.
- Поддельное потоковое приложение под названием 4K Sports.
Выбор приложения 4K Sports в качестве приманки совпадает с предстоящим чемпионатом УЕФА ЕВРО-2024, что делает его своевременной приманкой.
Эксперты отмечают, что все эти кампании и ботнеты управляются через центральную инфраструктуру Medusa, которая динамически извлекает URL-адреса серверов управления и контроля (C2) из общедоступных профилей социальных сетей.
Новые модификации в версиях вредоносного ПО Medusa
Создатели вредоносного ПО Medusa решили свести к минимуму его влияние на взломанные устройства, уменьшив количество требуемых разрешений, хотя для этого по-прежнему необходимы службы специальных возможностей Android. Несмотря на это сокращение, вредоносная программа сохраняет способность получать доступ к списку контактов жертвы и отправлять SMS-сообщения, что остается важнейшим методом ее распространения.
Анализ показывает, что авторы вредоносного ПО удалили 17 команд из предыдущей версии и ввели пять новых:
- Destroyo: удалить определенное приложение
- Permdrawover: запросить разрешение на перерисовку
- Setoverlay: применить наложение черного экрана.
- Take_scr: сделать снимок экрана
- Update_sec: обновить секрет пользователя.
Особое беспокойство вызывает команда setoverlay, которая позволяет удаленным злоумышленникам выполнять обманные маневры, такие как отображение заблокированного или выключенного экрана, чтобы скрыть угрожающие действия, такие как несанкционированные переводы средств, происходящие в фоновом режиме.
Недавно добавленная возможность делать снимки экрана представляет собой значительное улучшение, предоставляя злоумышленникам новый метод извлечения конфиденциальной информации со скомпрометированных устройств.
Операторы Medusa расширяют сферу своей деятельности
Операция мобильного банковского трояна Medusa, похоже, расширяет сферу своей деятельности и применяет более скрытную тактику, открывая путь для более масштабного развертывания и увеличения числа жертв. Хотя исследователи еще не выявили ни одного приложения-дроппера в Google Play, растущее участие киберпреступников в программе «Вредоносное ПО как услуга» (MaaS) предполагает, что стратегии распространения, вероятно, станут более разнообразными и изощренными.
