Το Medusa Android banking Trojan βλέπει αυξημένα ποσοστά μόλυνσης καθώς στοχεύει περισσότερες γεωγραφικές περιοχές για να κλέψει credentials στο διαδίκτυο και να πραγματοποιήσει χρηματοοικονομική απάτη.
Σήμερα, οι ερευνητές του ThreatFabric δημοσίευσαν μια νέα έκθεση που περιγράφει λεπτομερώς τα πιο πρόσφατα κόλπα που χρησιμοποιεί το malware Medusa και πώς συνεχίζει να εξελίσσεται με νέες δυνατότητες.
Δείτε επίσης: Mars Stealer malware: Νέα παραλλαγή του κακόβουλου λογισμικού Oski
Η Medusa σε άνοδο
Η Medusa (γνωστή και ως TangleBot) δεν είναι ένα νέο banking Trojan, αλλά έχει αυξηθεί το distribution, με καμπάνιες που στοχεύουν τη Βόρεια Αμερική και την Ευρώπη χρησιμοποιώντας την ίδια υπηρεσία διανομής με το διαβόητο malware FluBot.
Το BleepingComputer είχε αναφέρει στο παρελθόν ότι τα trojans Medusa και FluBot είχαν χρησιμοποιήσει το «duckdns.org», ένα δωρεάν δυναμικό DNS που χρησιμοποιήθηκε ως μηχανισμός παράδοσης, επομένως αυτό δεν είναι το πρώτο σημάδι overlap μεταξύ των δύο.
Σε μια νέα έκθεση της ThreatFabric, οι ερευνητές ανακάλυψαν ότι το MedusaBot χρησιμοποιεί τώρα την ίδια υπηρεσία με το FluBot για να εκτελεί καμπάνιες smishing (SMS phishing).
Οι ερευνητές πιστεύουν ότι οι απειλητικοί παράγοντες του malware Medusa άρχισαν να χρησιμοποιούν αυτήν την υπηρεσία διανομής αφού είδαν πόσο ευρέως διαδεδομένες και επιτυχημένες είχαν γίνει οι καμπάνιες του FluBot.
Δείτε επίσης: Custom malware επέτρεψε σε hackers να μείνουν απαρατήρητοι μέσα σε δίκτυο για 250 ημέρες
Το κύριο πλεονέκτημα του malware Medusa έγκειται στην κατάχρηση της μηχανής δέσμης ενεργειών «Accessibility» Android, η οποία επιτρέπει στους χάκερ να εκτελούν διάφορες ενέργειες σαν να ήταν ο χρήστης.
Αυτές οι ενέργειες είναι οι παρακάτω:
- home_key – Εκτελεί καθολική δράση HOME
- ges – Εκτελεί ένα καθορισμένο gesture στην οθόνη της συσκευής
- fid_click – Κάνει κλικ στο UI element με το καθορισμένο αναγνωριστικό
- sleep – Αναμένει για ένα καθορισμένο αριθμό μικροδευτερόλεπτων
- recent_key – Εμφανίζει επισκόπηση των πρόσφατων εφαρμογών
- scrshot_key – Εκτελεί καθολική δράση TAKE_SCREENSHOT
- notification_key – Ανοίγει τις ενεργές ειδοποιήσεις
- lock_key – Κλειδώνει την οθόνη
- back_key – Εκτελεί καθολική δράση BACK
- text_click – Κάνει κλικ στο UI που έχει καθορισμένο κείμενο που εμφανίζεται
- fill_text – Δεν έχει εφαρμοστεί ακόμα
Συνολικά, είναι ένα εξαιρετικά ικανό banking trojan με δυνατότητες keylogging, live audio και video streaming, επιλογές εκτέλεσης απομακρυσμένων εντολών και πολλά άλλα.
Το ThreatFabric μπόρεσε να αποκτήσει πρόσβαση στον πίνακα διαχείρισης backend του malware και διαπίστωσε ότι οι χειριστές του μπορούν να επεξεργαστούν οποιοδήποτε πεδίο σε οποιοδήποτε banking trojan που εκτελείται στη συσκευή. Αυτή η δυνατότητα επιτρέπει στο malware να στοχεύει σχεδόν οποιαδήποτε τραπεζική πλατφόρμα με ψεύτικες phishing login φόρμες για να κλέψει credentials.
Το malware διανέμεται συνήθως παραποιημένες εφαρμογές DHL ή Purolator, αλλά οι ερευνητές είδαν και πακέτα που μεταμφιέζονταν σε Android Update, Flash Player, Amazon Locker και Video Player.
Αυτά τα APK εγκαθίστανται με χειροκίνητο τρόπο από τα ίδια τα θύματα, τα οποία λαμβάνουν ένα μήνυμα SMS με μια διεύθυνση URL που οδηγεί σε έναν ιστότοπο που ωθεί την κακόβουλη εφαρμογή Android.
Δείτε επίσης: Microsoft: Το Mac malware UpdateAgent γίνεται όλο και πιο επικίνδυνο
Για να αποφύγετε τη μόλυνση από αυτού του είδους τα malware, αντιμετωπίζετε πάντα τις παράξενες διευθύνσεις URL που αποστέλλονται από τη λίστα επαφών σας ως αναξιόπιστες.
Όπως σας επαναλαμβάνουμε συνεχώς, σε καμία περίπτωση μην κάνετε λήψη APK από άγνωστους ιστότοπους, καθώς οδηγούν πάντα σε μολύνσεις από malware.
Πηγή πληροφοριών: bleepingcomputer.com
