Banking trojanul Medusa pentru Android a reapărut după aproape un an de campanii mai puțin vizibile, având ca ținte Franța, Italia, Statele Unite, Canada, Spania, Regatul Unit și Turcia.
Noua activitate a fost urmărită începând din mai și se bazează pe variante mai compacte care necesită mai puține permisiuni și vin cu funcționalități noi într-o încercare de a iniția tranzacții direct de pe dispozitivul compromis.
Cunoscut și sub numele de TangleBot, banking trojanul Medusa este o operațiune de malware-as-a-service (MaaS) descoperită în 2020. Malware-ul oferă keylogging, controlul ecranului și manipularea SMS-urilor.
Deși poartă același nume, operațiunea este diferită de grupul de ransomware și de botnetul bazat pe Mirai pentru atacuri de tip denial-of-service distribuit (DDoS).
Campaniile recente au fost descoperite de echipa de inteligență a amenințărilor de la compania de gestionare a fraudelor online Cleafy, care spune că variantele de malware sunt mai ușoare, necesită mai puține permisiuni pe dispozitiv și includ suprapuneri pe ecranul complet și capturare de ecran.
Prima dovadă a variantelor recente Medusa este din iulie 2023, spun cercetătorii. Cleafy le-a observat în campanii care se bazează pe phishing prin SMS („smishing”) pentru a încărca malware-ul prin aplicații dropper.
Cercetătorii au descoperit 24 de campanii folosind malware-ul și le-au atribuit cinci botneturi separate (UNKN, AFETZEDE, ANAKONDA, PEMBE și TONY) care au livrat aplicații maligne.
Botnetul UNKN este operat de un grup distinct de actori de amenințări, care se concentrează pe țările din Europa, în special Franța, Italia, Spania și Regatul Unit.
Aplicațiile dropper recente folosite în aceste atacuri includ un browser Chrome fals, o aplicație de conectivitate 5G și o aplicație falsă de streaming numită 4K Sports.
Având în vedere că campionatul UEFA EURO 2024 este în desfășurare în prezent, alegerea aplicației de streaming 4K Sports ca momeală pare oportună.
Cleafy menționează că toate campaniile și botneturile sunt gestionate de infrastructura centrală a lui Medusa, care preia dinamic URL-urile serverului de comandă și control (C2) din profilurile publice de social media.
Autorii malware-ului Medusa au ales să reducă amprenta acestuia pe dispozitivele compromise, cerând acum doar un set mic de permisiuni, dar totuși necesită Serviciile de Accesibilitate ale Android-ului.
De asemenea, malware-ul își menține capacitatea de a accesa lista de contacte a victimei și de a trimite SMS-uri, o metodă-cheie de distribuție.
Analiza Cleafy arată că autorii malware-ului au eliminat 17 comenzi din versiunea anterioară a malware-ului și au adăugat cinci noi:
Comanda ‘setoverlay’ este remarcabilă deoarece le permite atacatorilor remote să efectueze acțiuni înșelătoare, cum ar fi făcând ca dispozitivul să pară blocat/oprit pentru a masca activitățile ODF maligne care au loc în fundal.
Noua capacitate de capturare a capturilor de ecran este, de asemenea, o adiție importantă, oferind actorilor de amenințări o modalitate nouă de a fura informații sensibile de pe dispozitivele infectate.
În ansamblu, operațiunea de banking trojan Medusa pentru dispozitive mobile pare să-și extindă sfera de acțiune și să devină mai furtunoasă, pregătind terenul pentru o implementare mai masivă și un număr mai mare de victime.
Deși Cleafy nu a observat încă niciuna dintre aplicațiile dropper pe Google Play, odată cu creșterea numărului de infractori cibernetici care se alătură MaaS, strategiile de distribuție sunt susceptibile să se diversifice și să devină mai sofisticate.
Peste 90 de aplicații Android maligne cu 5,5 milioane de instalări găsite pe Google Play
Finlanda avertizează cu privire la atacurile de malware Android care încalcă conturile bancare
Malware-ul Android Brokewell nou preia dispozitivele Android, fură date
Malware-ul Android Wpeeper nou se ascunde în spatele site-urilor WordPress hackuite
Rafel RAT vizează telefoanele Android învechite în atacuri de ransomware
Leave a Reply