Medusa Mobile Malware
Bankový trójsky kôň Medusa sa po takmer roku udržiavania nižšieho profilu znovu objavil a zameral sa na krajiny vrátane Francúzska, Talianska, Spojených štátov, Kanady, Španielska, Spojeného kráľovstva a Turecka. Táto obnovená aktivita, monitorovaná od mája, zahŕňa zjednodušené varianty vyžadujúce menej povolení a zavádza nové funkcie zamerané na iniciovanie transakcií priamo z napadnutých zariadení.
Bankový trójsky kôň Medusa , označovaný aj ako TangleBot, je Android Malware-as-a-Service (MaaS) objavený v roku 2020. Tento malvér ponúka funkcie ako keylogging, manipulácia s obrazovkou a ovládanie SMS. Napriek tomu, že zdieľa rovnaký názov, táto operácia sa líši od skupiny ransomware a botnetu založeného na Mirai , ktorý je známy útokmi typu Distributed Denial-of-Service (DDoS).
Obsah
Ohrozujúce kampane nasadzujúce malvér Medusa Mobile
Prvé pozorovania najnovších variantov Medusa sa datujú do júla 2023, keď ich vedci pozorovali v kampaniach využívajúcich SMS phishing („smishing“) na distribúciu malvéru prostredníctvom aplikácií typu dropper. Celkovo bolo identifikovaných 24 kampaní využívajúcich tieto varianty, prepojených s piatimi rôznymi botnetmi (UNKN, AFETZEDE, ANAKONDA, PEMBE a TONY), z ktorých každý je zodpovedný za poskytovanie škodlivých aplikácií.
Botnet UNKN prevádzkuje špecifická skupina aktérov hrozieb zameraných na európske krajiny, najmä Francúzsko, Taliansko, Španielsko a Spojené kráľovstvo. Medzi nedávne aplikácie dropper používané pri týchto útokoch patria:
- Falošný prehliadač Chrome.
- Údajná aplikácia na pripojenie 5G.
- Falošná streamovacia aplikácia s názvom 4K Sports.
Voľba aplikácie 4K Sports ako návnady sa zhoduje s prebiehajúcim šampionátom UEFA EURO 2024, čo z nej robí včasnú návnadu.
Odborníci poznamenávajú, že všetky tieto kampane a botnety sú spravované prostredníctvom centrálnej infraštruktúry spoločnosti Medusa, ktorá dynamicky získava adresy URL servera Command-and-Control (C2) z verejne prístupných profilov sociálnych médií.
Nové úpravy vo verziách Medusa Malware
Tvorcovia malvéru Medusa sa rozhodli minimalizovať jeho vplyv na napadnuté zariadenia znížením počtu požadovaných povolení, aj keď stále vyžadujú služby dostupnosti systému Android. Napriek tomuto zníženiu si malvér zachováva schopnosť pristupovať k zoznamu kontaktov obete a odosielať SMS správy, čo zostáva kritickou metódou jeho distribúcie.
Analýza odhaľuje, že autori malvéru odstránili 17 príkazov z predchádzajúcej iterácie a zároveň zaviedli päť nových:
- Destroyo: odinštalujte konkrétnu aplikáciu
- Permdrawover: vyžiadajte si povolenie „Prekresliť“.
- Setoverlay: použite čierne prekrytie obrazovky
- Take_scr: urobte snímku obrazovky
- Update_sec: aktualizácia tajného tajomstva používateľa
Obzvlášť znepokojujúci je príkaz „setoverlay“, ktorý umožňuje vzdialeným útočníkom vykonávať klamlivé manévre, ako je zobrazenie uzamknutej alebo vypnutej obrazovky, aby sa zakryli hrozivé aktivity, ako sú napríklad neoprávnené prevody prostriedkov na pozadí.
Novo pridaná možnosť snímania snímok obrazovky predstavuje významné vylepšenie a poskytuje aktérom hrozieb novú metódu získavania citlivých informácií z napadnutých zariadení.
Operátori spoločnosti Medusa rozširujú svoje zameranie
Zdá sa, že operácia mobilného bankovníctva Medusa s trójskymi koňmi rozširuje svoje zameranie a prijíma nenápadnejšie taktiky, čím pripravuje pôdu pre rozsiahlejšie nasadenie a zvýšený počet obetí. Zatiaľ čo výskumníci zatiaľ neidentifikovali žiadnu z aplikácií typu dropper na Google Play, rastúca účasť kyberzločincov v Malware-as-a-Service (MaaS) naznačuje, že distribučné stratégie budú pravdepodobne rozmanitejšie a sofistikovanejšie.
