Neue Android-Trojaner-Variante zielt auf Banknutzer ab

Cybersecurity-Forscher des Cleafy Threat Intelligence-Teams haben eine neue Variante des Medusa-Banking-Trojaners entdeckt, die nach fast einem Jahr der Entdeckungslosigkeit auf Android-Geräte zurückgekehrt ist.

Sie wurde in neuen Kampagnen gesichtet, die Nutzer in Frankreich, Italien, den Vereinigten Staaten, Kanada, Spanien, dem Vereinigten Königreich und der Türkei anvisieren.

Medusa (auch bekannt als TangleBot) wurde 2020 entdeckt und ist eine ausgeklügelte Malware-Familie mit Remote Access Trojan (RAT)-Funktionen.

Sie ist nun mit erheblichen Änderungen wieder aufgetaucht, einschließlich Keylogging, Bildschirmsteuerungen und der Fähigkeit, SMS-Nachrichten zu lesen und zu schreiben.

Diese Fähigkeiten ermöglichen es Bedrohungsakteuren (TAs), eine der riskantesten Formen von Bankbetrug durchzuführen: On-Device Fraud (ODF).

Das Threat Intelligence-Team von Cleafy entdeckte die neue Variante des Medusa-Banking-Trojaners, während es Ende Mai 2024 Betrugs-Kampagnen überwachte.

Sie beobachteten einen Anstieg der Installationen einer zuvor unbekannten App namens „4K Sports“, die Merkmale aufwies, die nicht perfekt mit bekannten Malware-Familien übereinstimmten.

Neueste Erkenntnisse zeigen einige Diskrepanzen zwischen neuen Medusa-Proben und den zuvor bekannten, einschließlich eines leichten Berechtigungssatzes und neuer Funktionen, wie der Fähigkeit, Vollbildüberlagerungen anzuzeigen und Anwendungen aus der Ferne zu deinstallieren.

Ursprünglich auf türkische Finanzinstitute ausgerichtet, erweiterte Medusa schnell seinen Umfang bis 2022 und startete große Kampagnen in Nordamerika und Europa. Ihre RAT-Funktionen ermöglichen es Bedrohungsakteuren, kompromittierte Geräte vollständig zu kontrollieren, indem sie VNC für die Bildschirmfreigabe in Echtzeit und Zugänglichkeitsdienste nutzen.

Dies erleichtert gefährliche Angriffe wie Account Takeover (ATO) und Automatic Transfer System (ATS)-Betrug.

„Dieser RAT (Remote Access Trojan) gewährt TAs die vollständige Kontrolle über kompromittierte Geräte, indem er VNC für die Bildschirmfreigabe in Echtzeit und Zugänglichkeitsdienste für die Interaktion ausnutzt. Diese Fähigkeiten ermöglichen es TAs, On-Device Fraud (ODF) durchzuführen“, sagten Forscher des Cybersecurity-Unternehmens Cleafy in einer Analyse, die letzte Woche veröffentlicht wurde.

„ODF ist eine der gefährlichsten Arten von Bankbetrug, da Überweisungen vom Gerät des Opfers initiiert werden und für manuelle oder automatische Ansätze, wie Account Takeover (ATO) oder Automatic Transfer System (ATS), angepasst werden können.“

Cleafy hat fünf verschiedene Botnetze identifiziert, die von mehreren Partnern betrieben werden, die jeweils unterschiedliche Merkmale hinsichtlich geografischer Zielsetzung und verwendeter Täuschung aufweisen. Neben der Türkei und Spanien gehören die neuen Ziele jetzt auch Frankreich und Italien.

Die Forscher beobachteten auch einen offensichtlichen Wandel in der Vertriebsstrategie unter den entdeckten Kampagnen, wobei Bedrohungsakteure mit „Droppers“ experimentieren, um Malware über gefälschte Aktualisierungsverfahren zu verteilen.

Die Malware koordiniert ihre Funktionen über eine Web Secure Socket-Verbindung zur Infrastruktur des Bedrohungsakteurs und ruft dynamisch die URL des Command-and-Control (C2)-Servers von öffentlichen Social-Media-Profilen wie Telegram, Twitter und ICQ ab, um die Obfuskation zu verbessern.

Diese dynamische Abfrage erhöht ihre Widerstandsfähigkeit gegen Abschaltversuche und nutzt Backup-Kanäle auf diesen Social-Media-Plattformen für zusätzliche Redundanz.

Die neueste Medusa-Variante zeigt einen strategischen Wandel hin zu einem leichten Ansatz, der die erforderlichen Berechtigungen minimiert und die Entdeckung umgeht, wodurch ihre Fähigkeit verbessert wird, über längere Zeiträume unentdeckt zu operieren.

„Die Kombination aus reduzierten Berechtigungen, geografischer Diversifizierung und ausgeklügelten Verteilungsmethoden unterstreicht die sich entwickelnde Natur von Medusa.

Während die TAs ihre Taktiken verfeinern, müssen Cyber-Sicherheitsexperten und Anti-Betrugsanalysten wachsam bleiben und ihre Verteidigungen anpassen, um diesen aufkommenden Bedrohungen entgegenzuwirken“, schlossen die Forscher.