మెడుసా మొబైల్ మాల్వేర్
మెడుసా బ్యాంకింగ్ ట్రోజన్ ఫ్రాన్స్, ఇటలీ, యునైటెడ్ స్టేట్స్, కెనడా, స్పెయిన్, యునైటెడ్ కింగ్డమ్ మరియు టర్కీతో సహా దేశాలను లక్ష్యంగా చేసుకుని దాదాపు ఒక సంవత్సరం తక్కువ ప్రొఫైల్ను కొనసాగించిన తర్వాత మళ్లీ తెరపైకి వచ్చింది. ఈ పునరుద్ధరించబడిన కార్యకలాపం, మే నుండి పర్యవేక్షించబడుతుంది, తక్కువ అనుమతులు అవసరమయ్యే క్రమబద్ధీకరించబడిన వేరియంట్లను కలిగి ఉంటుంది మరియు రాజీపడిన పరికరాల నుండి నేరుగా లావాదేవీలను ప్రారంభించే లక్ష్యంతో కొత్త కార్యాచరణలను పరిచయం చేస్తుంది.
టాంగిల్బాట్ అని కూడా పిలువబడే, మెడుసా బ్యాంకింగ్ ట్రోజన్ అనేది 2020లో కనుగొనబడిన Android మాల్వేర్-యాజ్-ఎ-సర్వీస్ (MaaS). ఈ మాల్వేర్ కీలాగింగ్, స్క్రీన్ మానిప్యులేషన్ మరియు SMS నియంత్రణ వంటి సామర్థ్యాలను అందిస్తుంది. అదే పేరును భాగస్వామ్యం చేసినప్పటికీ, ఈ ఆపరేషన్ ransomware సమూహం మరియు డిస్ట్రిబ్యూటెడ్ డినియల్-ఆఫ్-సర్వీస్ (DDoS) దాడులకు ప్రసిద్ధి చెందిన Mirai- ఆధారిత బోట్నెట్ నుండి భిన్నంగా ఉంటుంది.
విషయ సూచిక
మెడుసా మొబైల్ మాల్వేర్ని అమలు చేస్తున్న బెదిరింపు ప్రచారాలు
తాజా మెడుసా వేరియంట్ల యొక్క మొదటి వీక్షణలు జూలై 2023 నాటివి, పరిశోధకులు వాటిని డ్రాపర్ అప్లికేషన్ల ద్వారా మాల్వేర్ను పంపిణీ చేయడానికి SMS ఫిషింగ్ ('స్మిషింగ్')ను ప్రభావితం చేసే ప్రచారాలలో గమనించినప్పుడు. ఈ వేరియంట్లను ఉపయోగించే మొత్తం 24 ప్రచారాలు గుర్తించబడ్డాయి, అవి ఐదు విభిన్న బోట్నెట్లకు (UNKN, AFETZEDE, ANAKONDA, PEMBE మరియు TONY) లింక్ చేయబడ్డాయి, ప్రతి ఒక్కటి హానికరమైన అప్లికేషన్లను పంపిణీ చేయడానికి బాధ్యత వహిస్తాయి.
UNKN బోట్నెట్ అనేది యూరోపియన్ దేశాలను, ముఖ్యంగా ఫ్రాన్స్, ఇటలీ, స్పెయిన్ మరియు UKలను లక్ష్యంగా చేసుకోవడంపై దృష్టి సారించిన నిర్దిష్ట ముప్పు నటులచే నిర్వహించబడుతుంది. ఈ దాడులలో ఉపయోగించిన ఇటీవలి డ్రాపర్ అప్లికేషన్లు:
- నకిలీ Chrome బ్రౌజర్.
- ఉద్దేశించిన 5G కనెక్టివిటీ అప్లికేషన్.
- 4K స్పోర్ట్స్ పేరుతో ఒక నకిలీ స్ట్రీమింగ్ అప్లికేషన్.
4K స్పోర్ట్స్ అప్లికేషన్ను ఎరగా ఎంపిక చేసుకోవడం ప్రస్తుతం జరుగుతున్న UEFA EURO 2024 ఛాంపియన్షిప్తో సమానంగా ఉంటుంది, ఇది సమయానుకూలమైన ఆకర్షణగా మారుతుంది.
ఈ ప్రచారాలు మరియు బోట్నెట్లు అన్నీ మెడుసా యొక్క సెంట్రల్ ఇన్ఫ్రాస్ట్రక్చర్ ద్వారా నిర్వహించబడుతున్నాయని నిపుణులు గమనించారు, ఇది పబ్లిక్గా యాక్సెస్ చేయగల సోషల్ మీడియా ప్రొఫైల్ల నుండి కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్ URLలను డైనమిక్గా తిరిగి పొందుతుంది.
మెడుసా మాల్వేర్ సంస్కరణల్లో కొత్త మార్పులు
Medusa మాల్వేర్ సృష్టికర్తలు దానికి అవసరమైన అనుమతుల సంఖ్యను తగ్గించడం ద్వారా రాజీపడిన పరికరాలపై దాని ప్రభావాన్ని తగ్గించాలని ఎంచుకున్నారు, అయినప్పటికీ దీనికి Android యొక్క యాక్సెసిబిలిటీ సేవలు అవసరం. ఈ తగ్గింపు ఉన్నప్పటికీ, మాల్వేర్ బాధితుల సంప్రదింపు జాబితాను యాక్సెస్ చేయగల సామర్థ్యాన్ని కలిగి ఉంది మరియు SMS సందేశాలను పంపుతుంది, ఇది దాని పంపిణీకి కీలకమైన పద్ధతిగా మిగిలిపోయింది.
ఐదు కొత్త వాటిని పరిచయం చేస్తున్నప్పుడు మాల్వేర్ రచయితలు దాని మునుపటి పునరావృతం నుండి 17 ఆదేశాలను తొలగించారని విశ్లేషణ వెల్లడిస్తుంది:
- Destroyo: నిర్దిష్ట అప్లికేషన్ను అన్ఇన్స్టాల్ చేయండి
- పెర్మ్డ్రావోవర్: 'డ్రాయింగ్ ఓవర్' అనుమతిని అభ్యర్థించండి
- సెట్ఓవర్లే: బ్లాక్ స్క్రీన్ ఓవర్లేని వర్తింపజేయండి
- Take_scr: స్క్రీన్షాట్ను క్యాప్చర్ చేయండి
- Update_sec: వినియోగదారు రహస్యాన్ని నవీకరించండి
'సెట్ఓవర్లే' కమాండ్ ప్రత్యేకించి ఆందోళన కలిగిస్తుంది, ఇది రిమోట్ అటాకర్లు బ్యాక్గ్రౌండ్లో జరిగే అనధికార నిధుల బదిలీల వంటి బెదిరింపు కార్యకలాపాలను అస్పష్టం చేయడానికి లాక్ చేయబడిన లేదా పవర్డ్-ఆఫ్ స్క్రీన్ను ప్రదర్శించడం వంటి మోసపూరిత విన్యాసాలను అమలు చేయడానికి వీలు కల్పిస్తుంది.
స్క్రీన్షాట్లను క్యాప్చర్ చేయడానికి కొత్తగా జోడించిన సామర్ధ్యం గణనీయమైన మెరుగుదలని సూచిస్తుంది, రాజీపడిన పరికరాల నుండి సున్నితమైన సమాచారాన్ని సేకరించేందుకు ముప్పు నటులకు తాజా పద్ధతిని అందిస్తుంది.
మెడుసా ఆపరేటర్లు తమ దృష్టిని విస్తరిస్తున్నారు
మెడుసా మొబైల్ బ్యాంకింగ్ ట్రోజన్ ఆపరేషన్ తన దృష్టిని విస్తృతం చేయడం మరియు స్టెల్థియర్ వ్యూహాలను అవలంబించడం, పెద్ద ఎత్తున విస్తరణ మరియు బాధితుల సంఖ్య పెరగడానికి మార్గం సుగమం చేస్తున్నట్లు కనిపిస్తోంది. పరిశోధకులు ఇంకా Google Playలో డ్రాపర్ యాప్లు వేటినీ గుర్తించనప్పటికీ, మాల్వేర్-యాజ్-ఎ-సర్వీస్ (MaaS)లో సైబర్ నేరగాళ్ల పెరుగుతున్న భాగస్వామ్యం పంపిణీ వ్యూహాలు మరింత వైవిధ్యంగా మరియు అధునాతనంగా మారవచ్చని సూచిస్తున్నాయి.
