Medusa Mobile Malware
Bančni trojanec Medusa se je znova pojavil po skoraj enem letu vzdrževanja nižje prepoznavnosti in cilja na države, vključno s Francijo, Italijo, Združenimi državami, Kanado, Španijo, Združenim kraljestvom in Turčijo. Ta prenovljena dejavnost, ki jo spremljamo od maja, vključuje poenostavljene različice, ki zahtevajo manj dovoljenj in uvajajo nove funkcionalnosti, namenjene zagonu transakcij neposredno iz ogroženih naprav.
Bančni trojanec Medusa , imenovan tudi TangleBot, je zlonamerna programska oprema kot storitev za Android (MaaS), odkrita leta 2020. Ta zlonamerna programska oprema ponuja zmožnosti, kot so beleženje tipk, manipulacija zaslona in nadzor SMS-ov. Kljub enakemu imenu se ta operacija razlikuje od skupine izsiljevalskih programov in botneta, ki temelji na Miraiju in je znan po porazdeljenih napadih zavrnitve storitve (DDoS).
Kazalo
Grozeče kampanje, ki uporabljajo zlonamerno programsko opremo za mobilne naprave Medusa
Prva opažanja najnovejših različic Meduse segajo v julij 2023, ko so jih raziskovalci opazili v kampanjah, ki so izkoriščale lažno predstavljanje SMS ('smishing') za distribucijo zlonamerne programske opreme prek aplikacij za kapljanje. Identificiranih je bilo skupno 24 kampanj, ki uporabljajo te različice, povezanih s petimi različnimi botneti (UNKN, AFETZEDE, ANAKONDA, PEMBE in TONY), od katerih je vsak odgovoren za dostavo škodljivih aplikacij.
Botnet UNKN upravlja posebna skupina akterjev groženj, ki ciljajo na evropske države, zlasti Francijo, Italijo, Španijo in Združeno kraljestvo. Nedavne aplikacije dropper, uporabljene v teh napadih, vključujejo:
- Ponarejen brskalnik Chrome.
- Domnevna aplikacija za povezljivost 5G.
- Lažna aplikacija za pretakanje z imenom 4K Sports.
Izbira aplikacije 4K Sports kot vabe sovpada s tekočim prvenstvom UEFA EURO 2024, zaradi česar je pravočasna vaba.
Strokovnjaki ugotavljajo, da se vse te kampanje in botneti upravljajo prek osrednje infrastrukture Medusa, ki dinamično pridobiva URL-je strežnika Command-and-Control (C2) iz javno dostopnih profilov družbenih medijev.
Nove spremembe v različicah zlonamerne programske opreme Medusa
Ustvarjalci zlonamerne programske opreme Medusa so se odločili zmanjšati njen vpliv na ogrožene naprave z zmanjšanjem števila dovoljenj, ki jih zahteva, čeprav še vedno potrebuje Androidove storitve dostopnosti. Kljub temu zmanjšanju zlonamerna programska oprema ohrani možnost dostopa do seznama stikov žrtve in pošiljanja sporočil SMS, kar ostaja kritična metoda za njeno distribucijo.
Analiza razkriva, da so avtorji zlonamerne programske opreme odstranili 17 ukazov iz prejšnje ponovitve in uvedli pet novih:
- Destroyo: odstranite določeno aplikacijo
- Permdrawover: zahtevajte dovoljenje 'Prerisovanje'
- Setoverlay: uporabite prekrivanje črnega zaslona
- Take_scr: zajemite posnetek zaslona
- Update_sec: posodobi skrivnost uporabnika
Posebej zaskrbljujoč je ukaz 'setoverlay', ki oddaljenim napadalcem omogoča izvajanje zavajajočih manevrov, kot je prikazovanje zaklenjenega ali izklopljenega zaslona, da zakrijejo grozeče dejavnosti, kot so nepooblaščeni prenosi sredstev, ki se dogajajo v ozadju.
Na novo dodana zmožnost zajemanja posnetkov zaslona predstavlja pomembno izboljšavo, ki akterjem groženj zagotavlja svežo metodo za pridobivanje občutljivih informacij iz ogroženih naprav.
Medusini operaterji širijo svoj fokus
Zdi se, da trojanski operaciji mobilnega bančništva Medusa širijo svoj fokus in sprejemajo bolj prikrite taktike, s čimer utirajo pot obsežnejši uvedbi in povečanemu številu žrtev. Medtem ko raziskovalci še niso identificirali nobene od kapalnih aplikacij v Googlu Play, vse večja udeležba kibernetskih kriminalcev v zlonamerni programski opremi kot storitvi (MaaS) nakazuje, da bodo distribucijske strategije verjetno postale bolj raznolike in sofisticirane.
