Το Medusa banking trojan, που μολύνει Android συσκευές, εντοπίστηκε σε νέες καμπάνιες που στοχεύουν τη Γαλλία, την Ιταλία, τις Ηνωμένες Πολιτείες, τον Καναδά, την Ισπανία, το Ηνωμένο Βασίλειο και την Τουρκία.

Οι νέες επιθέσεις χρησιμοποιούν νέες παραλλαγές που απαιτούν λιγότερα δικαιώματα/άδειες στη συσκευή και διαθέτουν νέες λειτουργίες, που επιτρέπουν την εκκίνηση συναλλαγών απευθείας από την παραβιασμένη συσκευή.

Γνωστό και ως TangleBot, το Medusa banking trojan ανακαλύφθηκε το 2020. Το κακόβουλο λογισμικό παρέχει δυνατότητες keylogging, στοιχεία ελέγχου οθόνης και χειρισμό SMS.

Αν και έχει το ίδιο όνομα, το Medusa banking trojan είναι διαφορετικό από τη συμμορία ransomware Medusa και το botnet (που βασίζεται στο Mirai).

Δείτε επίσης: Σιγκαπούρη: Δύο άνδρες κατηγορούνται για διανομή Android malware

Οι πρόσφατες καμπάνιες του Android trojan ανακαλύφθηκαν από τους ερευνητές της Cleafy, οι οποίοι παρατήρησαν και τις νέες παραλλαγές που χρειάζονται λιγότερα δικαιώματα στη συσκευή και περιλαμβάνουν full-screen overlaying και λήψη screenshot.

Πώς λειτουργούν οι πιο πρόσφατες καμπάνιες;

Τα πρώτα στοιχεία για τις πρόσφατες παραλλαγές του Medusa banking trojan εμφανίστηκαν τον Ιούλιο του 2023. Η Cleafy τις παρατήρησε σε καμπάνιες που βασίζονται σε SMS phishing («smishing») για τη φόρτωση του κακόβουλου λογισμικού μέσω εφαρμογών dropper.

Οι ερευνητές ανακάλυψαν 24 καμπάνιες που χρησιμοποιούν το Medusa banking trojan και τις απέδωσαν σε πέντε ξεχωριστά botnets (UNKN, AFETZEDE, ANAKONDA, PEMBE και TONY) που διένειμαν τις κακόβουλες εφαρμογές.

Το botnet UNKN λειτουργεί από μια ξεχωριστή ομάδα, η οποία επικεντρώνεται στη στόχευση χωρών στην Ευρώπη, ιδιαίτερα στη Γαλλία, την Ιταλία, την Ισπανία και το Ηνωμένο Βασίλειο.

Οι πρόσφατες εφαρμογές dropper που χρησιμοποιούνται σε αυτές τις επιθέσεις περιλαμβάνουν ένα ψεύτικο πρόγραμμα περιήγησης Chrome, μια εφαρμογή συνδεσιμότητας 5G και μια ψεύτικη εφαρμογή streaming που ονομάζεται 4K Sports.

Δεδομένου ότι το πρωτάθλημα UEFA EURO 2024 βρίσκεται σε εξέλιξη, η εφαρμογή 4K Sports είναι ένα επίκαιρο και σίγουρα αποτελεσματικό δόλωμα.

Νέα παραλλαγή του Medusa banking trojan

Οι δημιουργοί του κακόβουλου λογισμικού Medusa επέλεξαν να μειώσουν το αποτύπωμά του σε παραβιασμένες συσκευές, ζητώντας λιγότερες άδειες. Ωστόσο, απαιτείται ακόμα η πρόσβαση στα Accessibility Services του Android.

Επίσης, εξακολουθεί να υπάρχει πρόσβαση στη λίστα επαφών του θύματος και το malware μπορεί ακόμα να στέλνει SMS.

Δείτε επίσης: Malware εκστρατεία στοχεύει Windows, Android και macOS

Η ανάλυση της Cleafy δείχνει ότι οι δημιουργοί του κακόβουλου λογισμικού αφαίρεσαν 17 εντολές από την προηγούμενη έκδοση και πρόσθεσαν πέντε νέες:

  • Destroyo: απεγκατάσταση μιας συγκεκριμένης εφαρμογής
  • permdrawover: ζητά άδεια “Drawing Over”
  • setoverlay: ορισμός μαύρου screen overlay
  • take_scr: λήψη screenshot
  • update_sec: ενημέρωση user secret

Η εντολή «setoverlay» είναι αξιοσημείωτη καθώς επιτρέπει στους απομακρυσμένους εισβολείς να εκτελούν παραπλανητικές ενέργειες, όπως να κάνουν τη συσκευή να φαίνεται κλειδωμένη/απενεργοποιημένη για να κρύψει τις κακόβουλες δραστηριότητες που συμβαίνουν στο παρασκήνιο.

Η νέα δυνατότητα λήψης screenshot είναι, επίσης, σημαντική, καθώς επιτρέπει στους επιτιθέμενους να κλέβουν χρήσιμα δεδομένα.

Με τις νέες παραλλαγές, το Medusa banking trojan γίνεται πιο αποτελεσματικό στη στόχευση Android συσκευών.  

Προστασία

Ένας από τους πιο αποτελεσματικούς τρόπους προστασίας από το Medusa banking trojan είναι η εγκατάσταση εφαρμογών μόνο από επίσημα καταστήματα, όπως το Google Play Store. Οι εφαρμογές από ανεπίσημες πηγές μπορεί να περιέχουν κακόβουλο λογισμικό.

Η τακτική ενημέρωση του λειτουργικού συστήματος και των εφαρμογών είναι, επίσης, κρίσιμη. Οι ενημερώσεις συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να αποτρέψουν την εκμετάλλευση ευπαθειών από κακόβουλο λογισμικό όπως το Medusa.

Μην ξεχνάτε, ακόμα, τη χρήση ενός αξιόπιστου λογισμικού ασφαλείας ή antivirus. Αυτά τα προγράμματα μπορούν να ανιχνεύσουν και να αφαιρέσουν κακόβουλο λογισμικό πριν προκαλέσει ζημιά.

Δείτε επίσης: Το Android banking trojan Antidot εμφανίζεται σαν ενημέρωση του Google Play

Η αποφυγή κλικ σε ύποπτους συνδέσμους ή συνημμένα σε μηνύματα ηλεκτρονικού ταχυδρομείου και μηνύματα SMS είναι επίσης σημαντική. Οι κυβερνοεγκληματίες συχνά χρησιμοποιούν τέτοιες μεθόδους για να διανείμουν κακόβουλο λογισμικό.

Ακολουθεί η χρήση ισχυρών και μοναδικών κωδικών πρόσβασης για κάθε λογαριασμό, η οποία μπορεί να μειώσει τον κίνδυνο παραβίασης. Επιπλέον, η ενεργοποίηση της πολυπαραγοντικής ταυτοποίησης (MFA) προσφέρει ένα πρόσθετο επίπεδο προστασίας.

Τέλος, η εκπαίδευση και η ενημέρωση σχετικά με τις τελευταίες απειλές και τις μεθόδους προστασίας είναι πολύ σημαντική. Η γνώση των κινδύνων και των τρόπων αποφυγής τους μπορεί να μειώσει σημαντικά την πιθανότητα μόλυνσης.

Πηγή: www.bleepingcomputer.com