Шкідливе програмне забезпечення для мобільних пристроїв Medusa
Банківський троян Medusa знову з’явився після того, як майже рік залишався невідомим, націленим на такі країни, як Франція, Італія, Сполучені Штати, Канада, Іспанія, Велика Британія та Туреччина. Ця оновлена діяльність, яка відстежується з травня, передбачає оптимізовані варіанти, що вимагають менше дозволів і запроваджують нові функції, спрямовані на ініціювання транзакцій безпосередньо зі зламаних пристроїв.
Банківський троян Medusa , також відомий як TangleBot, є зловмисним програмним забезпеченням як послуга Android (MaaS), виявленим у 2020 році. Це зловмисне програмне забезпечення пропонує такі можливості, як клавіатурний журнал, маніпулювання екраном і керування SMS. Незважаючи на однакову назву, ця операція відрізняється від групи програм-вимагачів і ботнету на основі Mirai , відомого своїми атаками розподіленої відмови в обслуговуванні (DDoS).
Зміст
Загрозливі кампанії з використанням зловмисного програмного забезпечення Medusa Mobile
Перші спостереження останніх варіантів Medusa датуються липнем 2023 року, коли дослідники спостерігали за ними в кампаніях, які використовують SMS-фішинг («смішинг») для розповсюдження зловмисного програмного забезпечення через програми-дропери. Було виявлено 24 кампанії, що використовують ці варіанти, пов’язані з п’ятьма окремими ботнетами (UNKN, AFETZEDE, ANAKONDA, PEMBE і TONY), кожна з яких відповідає за доставку шкідливих програм.
Ботнет UNKN управляється спеціальною групою загрозливих суб’єктів, орієнтованих на європейські країни, зокрема Францію, Італію, Іспанію та Великобританію. Останні програми-дропери, які використовуються в цих атаках, включають:
- Підроблений браузер Chrome.
- Ймовірна програма для з’єднання 5G.
- Фальшива програма для потокового передавання під назвою 4K Sports.
Вибір програми 4K Sports як приманки збігається з поточним чемпіонатом УЄФА ЄВРО 2024, що робить його своєчасною приманкою.
Експерти відзначають, що всі ці кампанії та бот-мережі управляються через центральну інфраструктуру Medusa, яка динамічно отримує URL-адреси серверів Command-and-Control (C2) із загальнодоступних профілів соціальних мереж.
Нові модифікації у версіях шкідливих програм Medusa
Творці зловмисного програмного забезпечення Medusa вирішили мінімізувати його вплив на скомпрометовані пристрої, зменшивши кількість необхідних дозволів, хоча для цього все ще потрібні служби доступності Android. Незважаючи на це зменшення, зловмисне програмне забезпечення зберігає свою здатність отримувати доступ до списку контактів жертви та надсилати SMS-повідомлення, що залишається критично важливим методом для його поширення.
Аналіз показує, що автори зловмисного програмного забезпечення виключили 17 команд із його попередньої ітерації та додали п’ять нових:
- Destroyo: видаліть певну програму
- Permdrawover: вимагайте дозволу «Малювання».
- Setoverlay: застосувати накладення чорного екрана
- Take_scr: зробити знімок екрана
- Update_sec: оновити секрет користувача
Особливе занепокоєння викликає команда «setoverlay», яка дозволяє віддаленим зловмисникам виконувати оманливі маневри, такі як відображення заблокованого або вимкненого екрана, щоб приховати загрозливі дії, такі як неавторизовані перекази коштів, що відбуваються у фоновому режимі.
Нещодавно додана можливість робити знімки екрана є значним удосконаленням, надаючи суб’єктам загроз новий спосіб вилучення конфіденційної інформації зі зламаних пристроїв.
Оператори Medusa розширюють свою увагу
Операція мобільного банківського трояна Medusa, схоже, розширює свою спрямованість і приймає більш приховані тактики, відкриваючи шлях для більш масштабного розгортання та збільшення кількості жертв. Хоча дослідники ще не ідентифікували жодної програми-дропера в Google Play, зростаюча участь кіберзлочинців у зловмисному програмному забезпеченні як послугі (MaaS) свідчить про те, що стратегії розповсюдження, ймовірно, стануть більш різноманітними та витонченими.
