มัลแวร์มือถือ Medusa

โทรจันธนาคาร Medusa กลับมาปรากฏตัวอีกครั้งหลังจากเกือบหนึ่งปีของการรักษาโปรไฟล์ที่ต่ำกว่า โดยกำหนดเป้าหมายไปยังประเทศต่างๆ เช่น ฝรั่งเศส อิตาลี สหรัฐอเมริกา แคนาดา สเปน สหราชอาณาจักร และตุรกี กิจกรรมที่ได้รับการปรับปรุงใหม่นี้ ซึ่งมีการตรวจสอบตั้งแต่เดือนพฤษภาคม เกี่ยวข้องกับรูปแบบที่ได้รับการปรับปรุงซึ่งต้องการสิทธิ์ที่น้อยลง และการแนะนำฟังก์ชันใหม่ที่มุ่งเป้าไปที่การเริ่มต้นการทำธุรกรรมโดยตรงจากอุปกรณ์ที่ถูกบุกรุก

โทรจันธนาคาร Medusa หรือที่เรียกอีกอย่างว่า TangleBot เป็นมัลแวร์ในรูปแบบบริการ (MaaS) ของ Android ที่ถูกค้นพบในปี 2020 มัลแวร์นี้นำเสนอความสามารถต่างๆ เช่น การล็อกคีย์ การจัดการหน้าจอ และการควบคุม SMS แม้ว่าจะใช้ชื่อเดียวกัน แต่การดำเนินการนี้ก็แตกต่างจากกลุ่มแรนซัมแวร์และบอตเน็ตที่ใช้ Mirai ซึ่งเป็นที่รู้จักสำหรับการโจมตีแบบปฏิเสธการให้บริการ (DDoS)

แคมเปญคุกคามที่ใช้มัลแวร์มือถือ Medusa

การพบเห็น Medusa สายพันธุ์ล่าสุดครั้งแรกย้อนกลับไปในเดือนกรกฎาคม 2023 เมื่อนักวิจัยสังเกตเห็นพวกมันในแคมเปญที่ใช้ประโยชน์จาก SMS ฟิชชิ่ง ('สมิชชิ่ง') เพื่อกระจายมัลแวร์ผ่านแอปพลิเคชันหยด มีการระบุแคมเปญทั้งหมด 24 แคมเปญที่ใช้รูปแบบเหล่านี้ ซึ่งเชื่อมโยงกับบอตเน็ตที่แตกต่างกัน 5 แบบ (UNKN, AFETZEDE, ANAKONDA, PEMBE และ TONY) ซึ่งแต่ละแคมเปญมีหน้าที่รับผิดชอบในการส่งแอปพลิเคชันที่เป็นอันตราย

บ็อตเน็ต UNKN ดำเนินการโดยกลุ่มผู้ก่อภัยคุกคามเฉพาะกลุ่มที่มุ่งเน้นไปที่ประเทศในยุโรป โดยเฉพาะฝรั่งเศส อิตาลี สเปน และสหราชอาณาจักร แอปพลิเคชั่น Dropper ล่าสุดที่ใช้ในการโจมตีเหล่านี้ ได้แก่ :

• เบราว์เซอร์ Chrome ปลอม
• แอปพลิเคชันการเชื่อมต่อ 5G ที่ถูกกล่าวหา
• แอปพลิเคชั่นสตรีมมิ่งปลอมชื่อ 4K Sports

การเลือกแอปพลิเคชัน 4K Sports เป็นเหยื่อล่อนั้นเกิดขึ้นพร้อมกับการแข่งขันชิงแชมป์ยูฟ่า ยูโร 2024 ที่กำลังดำเนินอยู่ ทำให้เป็นโปรแกรมที่ล่อใจได้ทันท่วงที

ผู้เชี่ยวชาญทราบว่าแคมเปญและบอทเน็ตทั้งหมดเหล่านี้ได้รับการจัดการผ่านโครงสร้างพื้นฐานส่วนกลางของ Medusa ซึ่งจะดึง URL เซิร์ฟเวอร์ Command-and-Control (C2) แบบไดนามิกจากโปรไฟล์โซเชียลมีเดียที่เข้าถึงได้แบบสาธารณะ

การปรับเปลี่ยนใหม่ในเวอร์ชันมัลแวร์ Medusa

ผู้สร้างมัลแวร์ Medusa ได้เลือกที่จะลดผลกระทบต่ออุปกรณ์ที่ถูกบุกรุกโดยการลดจำนวนการอนุญาตที่ต้องการ แม้ว่าจะยังจำเป็นต้องมีบริการการเข้าถึงของ Android ก็ตาม แม้ว่าการลดลงนี้ มัลแวร์ยังคงรักษาความสามารถในการเข้าถึงรายชื่อผู้ติดต่อของเหยื่อและส่งข้อความ SMS ซึ่งยังคงเป็นวิธีการที่สำคัญในการเผยแพร่

การวิเคราะห์เผยให้เห็นว่าผู้เขียนมัลแวร์ได้กำจัดคำสั่ง 17 คำสั่งจากการทำซ้ำครั้งก่อน พร้อมทั้งแนะนำคำสั่งใหม่ 5 คำสั่ง:

• Destroyo: ถอนการติดตั้งแอปพลิเคชันเฉพาะ
• Permdrawover: ขออนุญาต 'ถอนเงิน'
• Setoverlay: ใช้การซ้อนทับหน้าจอสีดำ
• Take_scr: จับภาพหน้าจอ
• Update_sec: อัปเดตความลับของผู้ใช้

สิ่งที่น่ากังวลเป็นพิเศษคือคำสั่ง 'setoverlay' ซึ่งช่วยให้ผู้โจมตีจากระยะไกลสามารถดำเนินการหลบหลีกได้ เช่น การแสดงหน้าจอที่ล็อกหรือปิดอยู่ เพื่อปิดบังกิจกรรมที่เป็นอันตราย เช่น การโอนเงินโดยไม่ได้รับอนุญาตที่เกิดขึ้นในเบื้องหลัง

ความสามารถที่เพิ่มเข้ามาใหม่ในการจับภาพหน้าจอแสดงถึงการปรับปรุงที่สำคัญ โดยให้ผู้คุกคามมีวิธีการใหม่ในการแยกข้อมูลที่ละเอียดอ่อนจากอุปกรณ์ที่ถูกบุกรุก

เจ้าหน้าที่ปฏิบัติการของ Medusa กำลังขยายโฟกัสของพวกเขา

การดำเนินการโทรจันธนาคารบนมือถือของ Medusa ดูเหมือนจะขยายขอบเขตโฟกัสและใช้กลยุทธ์ที่ซ่อนเร้นมากขึ้น ปูทางไปสู่การใช้งานในวงกว้างขึ้นและจำนวนเหยื่อที่เพิ่มขึ้น แม้ว่านักวิจัยยังไม่ได้ระบุแอป Dropper ใด ๆ บน Google Play แต่การมีส่วนร่วมที่เพิ่มขึ้นของอาชญากรไซเบอร์ใน Malware-as-a-Service (MaaS) ชี้ให้เห็นว่ากลยุทธ์การกระจายมีแนวโน้มที่จะมีความหลากหลายและซับซ้อนมากขึ้น