Medusa Mobile Malware
Medusa-banktrojanen har återuppstått efter nästan ett år av att ha bibehållit en lägre profil och riktar sig till länder som Frankrike, Italien, USA, Kanada, Spanien, Storbritannien och Turkiet. Denna förnyade aktivitet, som övervakats sedan maj, innebär strömlinjeformade varianter som kräver färre behörigheter och introducerar nya funktioner som syftar till att initiera transaktioner direkt från komprometterade enheter.
Medusa -banktrojanen, även kallad TangleBot, är en Android Malware-as-a-Service (MaaS) som upptäcktes 2020. Denna skadliga programvara erbjuder funktioner som tangentloggning, skärmmanipulation och SMS-kontroll. Trots att den delar samma namn skiljer sig denna operation från ransomware-gruppen och det Mirai -baserade botnätet som är känt för DDoS-attacker (Distributed Denial-of-Service).
Innehållsförteckning
Hotande kampanjer som använder Medusa Mobile Malware
De första iakttagelserna av de senaste Medusa-varianterna går tillbaka till juli 2023, då forskare observerade dem i kampanjer som utnyttjade SMS-nätfiske ('smishing') för att distribuera skadlig programvara genom droppprogram. Totalt 24 kampanjer som använder dessa varianter har identifierats, kopplade till fem distinkta botnät (UNKN, AFETZEDE, ANAKONDA, PEMBE och TONY), var och en ansvarig för att leverera skadliga applikationer.
UNKN-botnätet drivs av en specifik grupp hotaktörer som fokuserar på att rikta in sig på europeiska länder, särskilt Frankrike, Italien, Spanien och Storbritannien. Senaste droppar-applikationer som används i dessa attacker inkluderar:
- En falsk Chrome-webbläsare.
- En påstådd 5G-anslutningsapplikation.
- En falsk streamingapplikation som heter 4K Sports.
Valet av 4K Sports-applikationen som bete sammanfaller med det pågående UEFA EURO 2024-mästerskapet, vilket gör det till ett lockande i rätt tid.
Experter noterar att alla dessa kampanjer och botnät hanteras genom Medusas centrala infrastruktur, som dynamiskt hämtar Command-and-Control (C2) server-URL från offentligt tillgängliga sociala medieprofiler.
Nya ändringar i Medusa Malware-versioner
Skaparna av Medusa malware har valt att minimera dess påverkan på komprometterade enheter genom att minska antalet behörigheter som det kräver, även om det fortfarande kräver Androids tillgänglighetstjänster. Trots denna minskning behåller den skadliga programvaran sin förmåga att komma åt offrets kontaktlista och skicka SMS, vilket förblir en kritisk metod för dess distribution.
Analys avslöjar att skadlig programvara har eliminerat 17 kommandon från sin tidigare iteration samtidigt som de introducerade fem nya:
- Destroyo: avinstallera en specifik applikation
- Permdrawover: begär "Drawing Over"-tillstånd
- Setoverlay: applicera en svart skärmöverlagring
- Take_scr: ta en skärmdump
- Update_sec: uppdatera användarhemlighet
Särskilt oroande är kommandot "setoverlay", som gör det möjligt för fjärrangripare att utföra vilseledande manövrar som att visa en låst eller avstängd skärm för att dölja hotfulla aktiviteter som otillåtna överföringar av pengar som sker i bakgrunden.
Den nyligen tillagda förmågan att ta skärmdumpar representerar en betydande förbättring och ger hotaktörer en ny metod för att extrahera känslig information från komprometterade enheter.
Medusas operatörer utökar sitt fokus
Medusa mobilbanktrojanverksamheten verkar bredda sitt fokus och anta smygande taktik, vilket banar väg för större utbyggnad och ett ökat antal offer. Även om forskare ännu inte har identifierat någon av droppapparna på Google Play, tyder det växande deltagandet av cyberkriminella i Malware-as-a-Service (MaaS) att distributionsstrategier sannolikt kommer att bli mer mångfaldiga och sofistikerade.
