Medusa 移动恶意软件

经过近一年的低调潜伏，Medusa 银行木马病毒再次浮出水面，其目标包括法国、意大利、美国、加拿大、西班牙、英国和土耳其等国家。自 5 月以来，这种新活动一直受到监控，涉及精简的变体，需要更少的权限，并引入了新功能，旨在直接从受感染的设备发起交易。

Medusa银行木马也称为 TangleBot，是一种于 2020 年发现的 Android 恶意软件即服务 (MaaS)。该恶意软件提供键盘记录、屏幕操控和短信控制等功能。尽管名称相同，但此操作与勒索软件组和以分布式拒绝服务 (DDoS) 攻击而闻名的基于Mirai的僵尸网络截然不同。

部署 Medusa 移动恶意软件的威胁活动

最新的 Medusa 变体首次被发现可以追溯到 2023 年 7 月，当时研究人员在利用短信网络钓鱼 (smishing) 通过投放器应用程序分发恶意软件的活动中发现了它们。总共发现了 24 个使用这些变体的活动，与五个不同的僵尸网络 (UNKN、AFETZEDE、ANAKONDA、PEMBE 和 TONY) 有关，每个僵尸网络都负责传播有害应用程序。

UNKN 僵尸网络由一群特定的威胁行为者运营，主要针对欧洲国家，特别是法国、意大利、西班牙和英国。这些攻击中使用的最新植入程序包括：

• 假冒的 Chrome 浏览器。
• 据称是一款 5G 连接应用程序。
• 一个名为“4K Sports”的虚假流媒体应用程序。

选择 4K Sports 应用程序作为诱饵恰逢正在进行的 2024 年欧洲杯锦标赛，这是一个及时的诱饵。

专家指出，所有这些活动和僵尸网络都是通过 Medusa 的中央基础设施进行管理的，该基础设施从可公开访问的社交媒体资料中动态检索命令和控制 (C2) 服务器 URL。

Medusa 恶意软件版本中的新修改

Medusa 恶意软件的创建者选择通过减少所需权限数量来最大限度地降低其对受感染设备的影响，尽管它仍然需要 Android 的辅助功能服务。尽管进行了这种减少，但该恶意软件仍保留了访问受害者联系人列表和发送短信的能力，这仍然是其传播的关键方法。

分析表明，恶意软件作者从之前的版本中删除了 17 条命令，同时引入了 5 条新命令：

• Destroyo：卸载特定应用程序
• Permdrawover：请求“Drawing Over”权限
• Setoverlay：应用黑屏覆盖
• Take_scr：截取屏幕截图
• Update_sec：更新用户秘密

特别令人担忧的是“setoverlay”命令，它使远程攻击者可以执行欺骗操作，例如显示锁定或关闭的屏幕以掩盖威胁活动，例如在后台发生的未经授权的资金转移。

新添加的截屏功能是一项重大改进，为威胁行为者提供了一种从受感染设备中提取敏感信息的新方法。

美杜莎的运营商正在扩大他们的关注范围

Medusa 手机银行木马行动似乎正在扩大其范围并采用更隐蔽的策略，为更大规模的部署和更多的受害者铺平道路。虽然研究人员尚未在 Google Play 上发现任何植入程序应用程序，但网络犯罪分子越来越多地参与恶意软件即服务 (MaaS) 表明，分发策略可能会变得更加多样化和复杂。