Medusa Mobile Malware

Ang Medusa banking Trojan ay muling lumitaw pagkatapos ng halos isang taon ng pagpapanatili ng isang mas mababang profile, na nagta-target sa mga bansa kabilang ang France, Italy, United States, Canada, Spain, United Kingdom at Turkey. Ang na-renew na aktibidad na ito, na sinusubaybayan mula noong Mayo, ay nagsasangkot ng mga streamline na variant na nangangailangan ng mas kaunting mga pahintulot at pagpapakilala ng mga bagong functionality na naglalayong simulan ang mga transaksyon nang direkta mula sa mga nakompromisong device.

Tinukoy din bilang TangleBot, ang Medusa banking Trojan ay isang Android Malware-as-a-Service (MaaS) na natuklasan noong 2020. Nag-aalok ang malware na ito ng mga kakayahan gaya ng keylogging, pagmamanipula ng screen at kontrol ng SMS. Sa kabila ng pagbabahagi ng parehong pangalan, ang operasyong ito ay naiiba sa ransomware group at sa Mirai -based na botnet na kilala para sa Distributed Denial-of-Service (DDoS) attacks.

Mga Mapanganib na Kampanya na Naglalatag ng Medusa Mobile Malware

Ang mga unang nakita sa pinakabagong mga variant ng Medusa ay nagsimula noong Hulyo 2023, nang maobserbahan ng mga mananaliksik ang mga ito sa mga campaign na gumagamit ng SMS phishing ('smishing') upang ipamahagi ang malware sa pamamagitan ng mga dropper application. May kabuuang 24 na campaign na gumagamit ng mga variant na ito ang natukoy, na naka-link sa limang natatanging botnet (UNKN, AFETZEDE, ANAKONDA, PEMBE at TONY), bawat isa ay responsable para sa paghahatid ng mga nakakapinsalang application.

Ang UNKN botnet ay pinatatakbo ng isang partikular na grupo ng mga aktor ng pagbabanta na nakatuon sa pag-target sa mga bansang Europeo, partikular sa France, Italy, Spain at UK. Ang mga kamakailang dropper application na ginamit sa mga pag-atakeng ito ay kinabibilangan ng:

• Isang pekeng Chrome browser.
• Isang sinasabing 5G connectivity application.
• Isang pekeng streaming application na pinangalanang 4K Sports.

Ang pagpili ng 4K Sports application bilang pain ay kasabay ng patuloy na UEFA EURO 2024 championship, na ginagawa itong isang napapanahong pang-akit.

Napansin ng mga eksperto na ang lahat ng campaign at botnet na ito ay pinamamahalaan sa pamamagitan ng sentral na imprastraktura ng Medusa, na dynamic na kumukuha ng Command-and-Control (C2) na mga URL ng server mula sa mga profile ng social media na naa-access ng publiko.

Mga Bagong Pagbabago sa Mga Bersyon ng Medusa Malware

Pinili ng mga tagalikha ng malware ng Medusa na bawasan ang epekto nito sa mga nakompromisong device sa pamamagitan ng pagbabawas sa bilang ng mga pahintulot na kailangan nito, kahit na kailangan pa rin nito ang Mga Serbisyo sa Accessibility ng Android. Sa kabila ng pagbabawas na ito, napanatili ng malware ang kakayahang ma-access ang listahan ng contact ng biktima at magpadala ng mga mensaheng SMS, na nananatiling kritikal na paraan para sa pamamahagi nito.

Ang pagsusuri ay nagpapakita na ang mga may-akda ng malware ay nag-alis ng 17 utos mula sa dati nitong pag-ulit habang nagpapakilala ng limang bago:

• Destroyo: i-uninstall ang isang partikular na application
• Permdrawover: humiling ng pahintulot sa 'Drawing Over'
• Setoverlay: maglapat ng black screen overlay
• Take_scr: kumuha ng screenshot
• Update_sec: i-update ang lihim ng user

Ang partikular na alalahanin ay ang 'setoverlay' na utos, na nagbibigay-daan sa mga malalayong umaatake na magsagawa ng mga mapanlinlang na maniobra tulad ng pagpapakita ng naka-lock o naka-off na screen upang takpan ang mga aktibidad na nagbabanta tulad ng hindi awtorisadong paglilipat ng pondo na nagaganap sa background.

Ang bagong idinagdag na kakayahang kumuha ng mga screenshot ay kumakatawan sa isang makabuluhang pagpapahusay, na nagbibigay sa mga aktor ng pagbabanta ng bagong paraan upang kunin ang sensitibong impormasyon mula sa mga nakompromisong device.

Pinapalawak ng mga Operator ng Medusa ang Kanilang Pokus

Ang operasyon ng Medusa mobile banking Trojan ay tila pinalalawak ang pokus nito at nagpapatibay ng mga nakaw na taktika, na nagbibigay daan para sa mas malaking deployment at dumaraming bilang ng mga biktima. Bagama't hindi pa natukoy ng mga mananaliksik ang alinman sa mga dropper na app sa Google Play, ang lumalaking partisipasyon ng mga cybercriminal sa Malware-as-a-Service (MaaS) ay nagmumungkahi na ang mga diskarte sa pamamahagi ay malamang na maging mas magkakaibang at sopistikado.