美杜莎行動惡意軟體

Medusa 銀行木馬在保持低調近一年後重新出現，目標國家包括法國、義大利、美國、加拿大、西班牙、英國和土耳其。這項新活動自 5 月以來一直受到監控，涉及需要更少權限的簡化變體，並引入了旨在直接從受感染設備發起交易的新功能。

Medusa銀行木馬也稱為 TangleBot，是 2020 年發現的 Android 惡意軟體即服務 (MaaS)。儘管名稱相同，但此操作與勒索軟體群組和以分散式阻斷服務 (DDoS) 攻擊而聞名的基於Mirai的殭屍網路不同。

部署 Medusa 行動惡意軟體的威脅活動

首次發現最新的 Medusa 變種可以追溯到 2023 年 7 月，當時研究人員在利用簡訊網路釣魚（「網路釣魚」）透過植入應用程式分發惡意軟體的活動中觀察到它們。已發現總共 24 個使用這些變體的活動，這些活動與五個不同的殭屍網路（UNKN、AFETZEDE、ANAKONDA、PEMBE 和 TONY）相關，每個殭屍網路都負責傳播有害應用程式。

UNKN 殭屍網路由一組特定的威脅行為者經營，主要針對歐洲國家，特別是法國、義大利、西班牙和英國。這些攻擊中最近使用的植入程式應用程式包括：

• 假冒 Chrome 瀏覽器。
• 據稱是 5G 連線應用程式。
• 一個名為 4K Sports 的假串流應用程式。

選擇 4K 體育應用程式作為誘餌恰逢 2024 年歐洲盃錦標賽正在進行，這使其成為一個及時的誘惑。

專家指出，所有這些活動和殭屍網路都透過 Medusa 的中央基礎設施進行管理，該基礎設施從可公開存取的社交媒體設定檔中動態檢索命令與控制 (C2) 伺服器 URL。

Medusa 惡意軟體版本的新修改

Medusa 惡意軟體的創建者選擇透過減少所需的權限數量來最大程度地減少其對受感染裝置的影響，儘管它仍然需要 Android 的輔助功能服務。儘管這種減少，惡意軟體仍然保留其訪問受害者的聯絡人清單和發送簡訊的能力，這仍然是其傳播的關鍵方法。

分析表明，惡意軟體作者從先前的迭代中刪除了 17 個命令，同時引入了 5 個新命令：

• Destroyo：卸載特定應用程式
• Permdrawover：請求「繪圖」權限
• Setoverlay：應用黑屏覆蓋
• Take_scr：擷取螢幕截圖
• update_sec：更新使用者密碼

特別值得關注的是「setoverlay」命令，該命令使遠端攻擊者能夠執行欺騙性操作，例如顯示鎖定或關閉的螢幕，以掩蓋後台發生的未經授權的資金轉移等威脅活動。

新添加的擷取螢幕截圖的功能是一項重大增強，為威脅參與者提供了一種從受感染設備中提取敏感資訊的新方法。

美杜莎的運營商正在擴大他們的關注範圍

美杜莎手機銀行木馬行動似乎正在擴大其重點並採取更隱蔽的策略，為更大規模的部署和增加受害者數量鋪平了道路。雖然研究人員尚未識別出 Google Play 上的任何植入式應用程序，但網路犯罪分子越來越多地參與惡意軟體即服務 (MaaS)，這表明分發策略可能會變得更加多樣化和複雜。