新しいAndroidトロイの木馬の亜種が銀行ユーザーを標的に

Cleafyの脅威インテリジェンスチームのサイバーセキュリティ研究者は、ほぼ1年間の検出を回避した後、Androidデバイスに戻ってきたMedusa銀行トロイの木馬の新しい亜種を発見しました。

フランス、イタリア、アメリカ、カナダ、スペイン、イギリス、トルコのユーザーを標的にした新しいキャンペーンで確認されています。

2020年に発見されたMedusa（TangleBotとしても知られています）は、リモートアクセス型トロイの木馬（RAT）機能を持つ高度なマルウェアファミリーです。

現在、キーロギング、画面制御、SMSメッセージの読み書き機能などの重要な変更を伴って再出現しました。

これらの機能により、脅威アクター（TA）は、最も危険な銀行詐欺の一つであるオンデバイス詐欺（ODF）を実行できます。

Cleafyの脅威インテリジェンスチームは、2024年5月下旬に詐欺キャンペーンを監視している際に、Medusa銀行トロイの木馬の新しい亜種を発見しました。

彼らは、「4K Sports」と呼ばれる以前は知られていなかったアプリのインストールが急増しているのを観察しました。このアプリは、既知のマルウェアファミリーと完全には一致しない特性を示していました。

最近の調査結果は、新しいMedusaサンプルと以前に知られていたものとの間にいくつかの不一致があることを示しています。これには、軽量の権限セットや、全画面オーバーレイ表示やリモートアプリケーションのアンインストール機能などの新機能が含まれます。

最初はトルコの金融機関を標的にしていたMedusaは、2022年までにその範囲を急速に拡大し、北米とヨーロッパで大規模なキャンペーンを展開しました。そのRAT機能により、脅威アクターはVNCを使用してリアルタイムの画面共有とアクセシビリティサービスを利用して、侵害されたデバイスを完全に制御できます。

これにより、アカウント乗っ取り（ATO）や自動振込システム（ATS）詐欺などの危険な攻撃が可能になります。

「このRAT（リモートアクセス型トロイの木馬）は、リアルタイムの画面共有とインタラクションのためのアクセシビリティサービスを利用して、侵害されたデバイスの完全な制御をTAに与えます。これらの機能により、TAはオンデバイス詐欺（ODF）を実行する能力を持ちます」と、サイバーセキュリティ企業Cleafyの研究者は先週発表された分析で述べました。

「ODFは、被害者のデバイスから送金が開始され、アカウント乗っ取り（ATO）や自動振込システム（ATS）などの手動または自動アプローチに適応できるため、最も危険な銀行詐欺の一つです。」

Cleafyは、地理的ターゲティングや使用されるおとりに関して異なる特徴を示す複数のアフィリエイトによって運営される5つの異なるボットネットを特定しました。新しいターゲットには、トルコやスペインに加えて、フランスやイタリアも含まれています。

研究者たちは、検出されたキャンペーンの配布戦略に明らかな変化が見られ、脅威アクターが偽の更新手順を介してマルウェアを配布するために「ドロッパー」を試していることを観察しました。

このマルウェアは、脅威アクターのインフラストラクチャへのWebセキュアソケット接続を通じて機能を調整し、Telegram、Twitter、ICQなどの公共のソーシャルメディアプロファイルからコマンド＆コントロール（C2）サーバーのURLを動的に取得して、さらなる難読化を図ります。

この動的な取得は、取り締まりの試みに対する耐性を高め、これらのソーシャルメディアプラットフォーム上でのバックアップチャネルを利用してさらなる冗長性を提供します。

最新のMedusa亜種は、必要な権限を最小限に抑え、検出を回避する軽量アプローチへの戦略的なシフトを示しています。これにより、長期間にわたって検出されずに運用する能力が向上します。

「権限の削減、地理的多様化、洗練された配布方法の組み合わせは、Medusaの進化する性質を強調しています。

TAが戦術を洗練させるにつれて、サイバーセキュリティの専門家や詐欺防止アナリストは警戒を怠らず、これらの新たな脅威に対抗するために防御を適応させる必要があります」と、研究者たちは結論付けました。