Medusa Mobil Kötü Amaçlı Yazılım
Medusa bankacılık Truva Atı, Fransa, İtalya, ABD, Kanada, İspanya, Birleşik Krallık ve Türkiye gibi ülkeleri hedef alarak yaklaşık bir yıldır daha düşük bir profilde kaldıktan sonra yeniden ortaya çıktı. Mayıs ayından bu yana izlenen bu yenilenen etkinlik, daha az izin gerektiren ve doğrudan güvenliği ihlal edilmiş cihazlardan işlem başlatmayı amaçlayan yeni işlevler getiren geliştirilmiş varyantları içeriyor.
TangleBot olarak da anılan Medusa bankacılık Truva Atı, 2020 yılında keşfedilen bir Hizmet Olarak Android Kötü Amaçlı Yazılımdır (MaaS). Bu kötü amaçlı yazılım, tuş günlüğü tutma, ekran manipülasyonu ve SMS kontrolü gibi yetenekler sunar. Aynı adı paylaşmasına rağmen bu işlem, fidye yazılımı grubundan ve Dağıtılmış Hizmet Reddi (DDoS) saldırılarıyla bilinen Mirai tabanlı botnet'ten farklıdır.
İçindekiler
Medusa Mobil Kötü Amaçlı Yazılımını Yayan Tehdit Kampanyaları
En yeni Medusa türlerinin ilk görülmesi, araştırmacıların bunları, damlalık uygulamaları aracılığıyla kötü amaçlı yazılım dağıtmak için SMS kimlik avından ("smishing") yararlanan kampanyalarda gözlemlediği Temmuz 2023'e kadar uzanıyor. Bu değişkenleri kullanan, her biri zararlı uygulamalar sunmaktan sorumlu olan beş farklı botnet'e (UNKN, AFETZEDE, ANAKONDA, PEMBE ve TONY) bağlı toplam 24 kampanya belirlendi.
UNKN botnet'i, başta Fransa, İtalya, İspanya ve Birleşik Krallık olmak üzere Avrupa ülkelerini hedeflemeye odaklanan belirli bir grup tehdit aktörü tarafından işletiliyor. Bu saldırılarda kullanılan son damlatıcı uygulamalar şunları içerir:
- Sahte bir Chrome tarayıcısı.
- Sözde bir 5G bağlantı uygulaması.
- 4K Sports adlı sahte bir yayın uygulaması.
Yem olarak 4K Spor uygulamasının seçimi, devam eden UEFA EURO 2024 şampiyonası ile örtüşüyor ve bu da onu zamanında bir yem haline getiriyor.
Uzmanlar, tüm bu kampanyaların ve botnet'lerin, kamuya açık sosyal medya profillerinden Komuta ve Kontrol (C2) sunucusu URL'lerini dinamik olarak alan Medusa'nın merkezi altyapısı üzerinden yönetildiğini belirtiyor.
Medusa Kötü Amaçlı Yazılım Sürümlerinde Yeni Değişiklikler
Medusa kötü amaçlı yazılımının yaratıcıları, Android'in Erişilebilirlik Hizmetlerini gerektirmesine rağmen, gerektirdiği izinlerin sayısını azaltarak güvenliği ihlal edilmiş cihazlar üzerindeki etkisini en aza indirmeyi tercih etti. Bu azalmaya rağmen kötü amaçlı yazılım, kurbanın kişi listesine erişme ve SMS mesajı gönderme yeteneğini koruyor ve bu, dağıtımı için kritik bir yöntem olmaya devam ediyor.
Analiz, kötü amaçlı yazılım yazarlarının önceki yinelemesinden 17 komutu çıkardığını ve beş yeni komut eklediğini ortaya koyuyor:
- Destroyo: belirli bir uygulamayı kaldırın
- Permdrawover: 'Üzerinde Çizim' izni isteyin
- Setoverlay: siyah ekran kaplaması uygulama
- Take_scr: ekran görüntüsü yakala
- Update_sec: kullanıcı sırrını güncelle
Uzaktaki saldırganların, arka planda meydana gelen yetkisiz fon transferleri gibi tehdit edici faaliyetleri gizlemek için kilitli veya kapalı bir ekran görüntülemek gibi aldatıcı manevralar gerçekleştirmesine olanak tanıyan 'setoverlay' komutu özellikle endişe vericidir.
Yeni eklenen ekran görüntüsü yakalama özelliği, tehdit aktörlerine ele geçirilen cihazlardan hassas bilgileri ayıklamak için yeni bir yöntem sağlayan önemli bir geliştirmeyi temsil ediyor.
Medusa'nın Operatörleri Odaklarını Genişletiyor
Medusa mobil bankacılık Truva Atı operasyonu, odak noktasını genişletiyor ve daha gizli taktikler benimsiyor gibi görünüyor; bu da daha büyük ölçekli dağıtımın ve kurban sayısının artmasının önünü açıyor. Araştırmacılar henüz Google Play'deki herhangi bir başarısız uygulamayı tanımlamamış olsa da, siber suçluların Hizmet Olarak Kötü Amaçlı Yazılıma (MaaS) giderek artan katılımı, dağıtım stratejilerinin muhtemelen daha çeşitli ve karmaşık hale geleceğini gösteriyor.
