Phần mềm độc hại di động Medusa

Trojan ngân hàng Medusa đã xuất hiện trở lại sau gần một năm ẩn mình, nhắm mục tiêu vào các quốc gia bao gồm Pháp, Ý, Hoa Kỳ, Canada, Tây Ban Nha, Vương quốc Anh và Thổ Nhĩ Kỳ. Hoạt động mới này, được theo dõi từ tháng 5, bao gồm các biến thể được sắp xếp hợp lý yêu cầu ít quyền hơn và giới thiệu các chức năng mới nhằm bắt đầu giao dịch trực tiếp từ các thiết bị bị xâm nhập.

Còn được gọi là TangleBot, Trojan ngân hàng Medusa là một phần mềm độc hại dưới dạng dịch vụ (MaaS) trên Android được phát hiện vào năm 2020. Phần mềm độc hại này cung cấp các khả năng như ghi nhật ký thao tác bàn phím, thao tác màn hình và kiểm soát SMS. Mặc dù có cùng tên nhưng hoạt động này khác biệt với nhóm ransomware và botnet dựa trên Mirai được biết đến với các cuộc tấn công từ chối dịch vụ phân tán (DDoS).

Các chiến dịch đe dọa Triển khai phần mềm độc hại di động Medusa

Những lần nhìn thấy đầu tiên về các biến thể Medusa mới nhất bắt đầu từ tháng 7 năm 2023, khi các nhà nghiên cứu quan sát thấy chúng trong các chiến dịch lợi dụng lừa đảo qua SMS ('smishing') để phát tán phần mềm độc hại thông qua các ứng dụng nhỏ giọt. Tổng cộng có 24 chiến dịch sử dụng các biến thể này đã được xác định, liên kết với 5 mạng botnet riêng biệt (UNKN, AFETZEDE, ANAKONDA, PEMBE và TONY), mỗi mạng chịu trách nhiệm cung cấp các ứng dụng độc hại.

Mạng botnet UNKN được điều hành bởi một nhóm tác nhân đe dọa cụ thể tập trung vào việc nhắm mục tiêu vào các nước châu Âu, đặc biệt là Pháp, Ý, Tây Ban Nha và Vương quốc Anh. Các ứng dụng nhỏ giọt gần đây được sử dụng trong các cuộc tấn công này bao gồm:

• Một trình duyệt Chrome giả mạo.
• Một ứng dụng kết nối 5G có mục đích.
• Một ứng dụng phát trực tuyến giả mạo có tên 4K Sports.

Việc lựa chọn ứng dụng Thể thao 4K làm mồi nhử trùng với thời điểm giải vô địch UEFA EURO 2024 đang diễn ra nên trở thành mồi nhử kịp thời.

Các chuyên gia lưu ý rằng tất cả các chiến dịch và mạng botnet này đều được quản lý thông qua cơ sở hạ tầng trung tâm của Medusa, cơ sở này truy xuất động các URL máy chủ Lệnh và Kiểm soát (C2) từ các hồ sơ truyền thông xã hội có thể truy cập công khai.

Những sửa đổi mới trong các phiên bản phần mềm độc hại Medusa

Những kẻ tạo ra phần mềm độc hại Medusa đã chọn cách giảm thiểu tác động của nó lên các thiết bị bị xâm nhập bằng cách giảm số lượng quyền mà nó yêu cầu, mặc dù nó vẫn cần có Dịch vụ trợ năng của Android. Bất chấp sự giảm thiểu này, phần mềm độc hại vẫn giữ khả năng truy cập vào danh sách liên hệ của nạn nhân và gửi tin nhắn SMS, đây vẫn là một phương pháp quan trọng để phân phối.

Phân tích cho thấy tác giả phần mềm độc hại đã loại bỏ 17 lệnh khỏi lần lặp trước đó trong khi giới thiệu 5 lệnh mới:

• Destroyo: gỡ cài đặt một ứng dụng cụ thể
• Permdrawover: yêu cầu quyền 'Vẽ qua'
• Setoverlay: áp dụng lớp phủ màn hình đen
• Take_scr: chụp ảnh màn hình
• Update_sec: cập nhật bí mật người dùng

Mối quan tâm đặc biệt là lệnh 'setoverlay', cho phép kẻ tấn công từ xa thực hiện các thao tác lừa đảo như hiển thị màn hình bị khóa hoặc tắt nguồn để che giấu các hoạt động đe dọa như chuyển tiền trái phép xảy ra trong nền.

Khả năng chụp ảnh màn hình mới được bổ sung thể hiện sự cải tiến đáng kể, cung cấp cho các tác nhân đe dọa một phương pháp mới để trích xuất thông tin nhạy cảm từ các thiết bị bị xâm nhập.

Các nhà điều hành Medusa đang mở rộng trọng tâm của họ

Hoạt động Trojan ngân hàng di động Medusa dường như đang mở rộng trọng tâm và áp dụng các chiến thuật lén lút hơn, mở đường cho việc triển khai quy mô lớn hơn và số lượng nạn nhân ngày càng tăng. Mặc dù các nhà nghiên cứu vẫn chưa xác định được bất kỳ ứng dụng nhỏ giọt nào trên Google Play, nhưng sự tham gia ngày càng tăng của tội phạm mạng vào Malware-as-a-Service (MaaS) cho thấy các chiến lược phân phối có thể sẽ trở nên đa dạng và tinh vi hơn.