Медуса Мобиле Малвер
Банкарски тројанац Медуса поново се појавио након скоро годину дана одржавања мањег профила, циљајући на земље укључујући Француску, Италију, Сједињене Државе, Канаду, Шпанију, Уједињено Краљевство и Турску. Ова обновљена активност, која се прати од маја, укључује модернизоване варијанте које захтевају мање дозвола и увођење нових функционалности које имају за циљ покретање трансакција директно са компромитованих уређаја.
Такође се назива и ТанглеБот, банкарски тројанац Медуса је Андроид малвер-ас-а-сервице (МааС) откривен 2020. године. Овај малвер нуди могућности као што су кеилоггинг, манипулација екраном и контрола СМС-а. Упркос истом имену, ова операција се разликује од групе рансомваре-а и ботнета заснованог на Мираи-у познатог по нападима дистрибуираног ускраћивања услуге (ДДоС).
Преглед садржаја
Претеће кампање које примењују малвер Медуса Мобиле
Прва виђења најновијих варијанти Медузе датирају из јула 2023. године, када су их истраживачи посматрали у кампањама које користе СМС пхисхинг („смисхинг“) за дистрибуцију злонамерног софтвера преко апликација за избацивање. Идентификоване су укупно 24 кампање које користе ове варијанте, повезане са пет различитих ботнета (УНКН, АФЕТЗЕДЕ, АНАКОНДА, ПЕМБЕ и ТОНИ), од којих је свака одговорна за испоруку штетних апликација.
УНКН ботнет-ом управља одређена група претњи усмерених на циљање европских земаља, посебно Француске, Италије, Шпаније и Велике Британије. Недавне дроппер апликације које се користе у овим нападима укључују:
- Фалсификовани Цхроме претраживач.
- Наводна апликација за 5Г повезивање.
- Лажна апликација за стриминг под називом 4К Спортс.
Избор 4К Спортс апликације као мамца поклапа се са УЕФА ЕУРО 2024 шампионатом који је у току, што га чини благовременим мамацем.
Стручњаци примећују да се свим овим кампањама и ботнетима управља преко централне инфраструктуре Медузе, која динамички преузима УРЛ адресе сервера за команду и контролу (Ц2) са јавно доступних профила друштвених медија.
Нове модификације у верзијама злонамерног софтвера Медуса
Креатори злонамерног софтвера Медуса одлучили су да минимизирају његов утицај на компромитоване уређаје смањењем броја дозвола које су му потребне, иако су и даље неопходне Андроид-ове услуге приступачности. Упркос овом смањењу, злонамерни софтвер задржава своју могућност приступа листи контаката жртве и слања СМС порука, што остаје критичан метод за његову дистрибуцију.
Анализа открива да су аутори малвера елиминисали 17 команди из претходне итерације док су увели пет нових:
- Дестроио: деинсталирајте одређену апликацију
- Пермдравовер: захтевајте дозволу за 'Дравинг Овер'
- Сетоверлаи: примените преклапање црног екрана
- Таке_сцр: снимите снимак екрана
- Упдате_сец: ажурирање корисничке тајне
Посебно забрињава команда 'сетоверлаи', која омогућава удаљеним нападачима да изврше варљиве маневре као што је приказивање закључаног или искљученог екрана како би се прикриле претеће активности као што су неовлашћени трансфери средстава који се дешавају у позадини.
Новододата могућност снимања снимака екрана представља значајно побољшање, пружајући актерима претњи нови метод за извлачење осетљивих информација са компромитованих уређаја.
Медузини оператери проширују свој фокус
Операција мобилног банкарства Медуса чини се да проширује свој фокус и усваја прикривеније тактике, утирући пут ширем распореду и повећаном броју жртава. Иако истраживачи још увек нису идентификовали ниједну апликацију за избацивање на Гоогле Плаи-у, све веће учешће сајбер криминалаца у Малвер-ас-а-Сервице (МааС) сугерише да ће стратегије дистрибуције вероватно постати разноврсније и софистицираније.
