Новый вариант трояна для Android нацеливается на банковских пользователей

Исследователи в области кибербезопасности из команды Cleafy Threat Intelligence обнаружили новый вариант банковского трояна Medusa, который вернулся на устройства Android после почти годового уклонения от обнаружения.

Он был замечен в новых кампаниях, нацеленных на пользователей во Франции, Италии, США, Канаде, Испании, Великобритании и Турции.

Обнаруженный в 2020 году, Medusa (также известный как TangleBot) является сложным семейством вредоносного ПО с возможностями удаленного доступа (RAT).

Теперь он вновь появился с значительными изменениями, включая ведение журнала нажатий клавиш, управление экраном и возможность чтения и отправки SMS-сообщений.

Эти возможности позволяют злоумышленникам (TA) выполнять одну из самых рискованных форм банковского мошенничества: мошенничество на устройстве (ODF).

Команда Threat Intelligence компании Cleafy обнаружила новый вариант банковского трояна Medusa, мониторя мошеннические кампании в конце мая 2024 года.

Они наблюдали рост установок ранее неизвестного приложения под названием «4K Sports», которое демонстрировало характеристики, не совсем совпадающие с известными семействами вредоносного ПО.

Недавние находки показывают некоторые несоответствия между новыми образцами Medusa и ранее известными, включая легкий набор разрешений и новые функции, такие как возможность отображения полноэкранных наложений и удаленной деинсталляции приложений.

Изначально нацеливаясь на турецкие финансовые учреждения, Medusa быстро расширил свои масштабы к 2022 году, запустив крупные кампании в Северной Америке и Европе. Его возможности RAT позволяют злоумышленникам полностью контролировать скомпрометированные устройства, используя VNC для совместного использования экрана в реальном времени и сервисов доступности.

Это облегчает опасные атаки, такие как захват аккаунта (ATO) и мошенничество с автоматической системой перевода (ATS).

«Этот RAT (троян удаленного доступа) предоставляет TA полный контроль над скомпрометированными устройствами, используя VNC для совместного использования экрана в реальном времени и сервисов доступности для взаимодействия. Эти возможности предоставляют TA возможность выполнять мошенничество на устройстве (ODF),» - сказали исследователи кибербезопасности компании Cleafy в анализе, опубликованном на прошлой неделе.

«ODF является одним из самых опасных типов банковского мошенничества, поскольку денежные переводы инициируются с устройства жертвы и могут быть адаптированы для ручных или автоматических подходов, таких как захват аккаунта (ATO) или автоматическая система перевода (ATS).»

Cleafy идентифицировала пять различных ботнетов, управляемых несколькими аффилированными лицами, каждый из которых демонстрирует отдельные характеристики в отношении географического таргетинга и используемого приманки. В дополнение к Турции и Испании, новые цели теперь также включают Францию и Италию.

Исследователи также наблюдали явный сдвиг в стратегии распространения среди обнаруженных кампаний, когда злоумышленники экспериментировали с «дропперами» для распространения вредоносного ПО через фальшивые процедуры обновления.

Вредоносное ПО координирует свои функции через соединение Web Secure Socket с инфраструктурой злоумышленника, динамически извлекая URL-адрес сервера командования и управления (C2) из публичных профилей в социальных сетях, таких как Telegram, Twitter и ICQ, для повышения обфускации.

Это динамическое извлечение увеличивает его устойчивость к попыткам отключения и использует резервные каналы на этих платформах социальных сетей для дальнейшей избыточности.

Последний вариант Medusa демонстрирует стратегический сдвиг к легкому подходу, который минимизирует необходимые разрешения и уклоняется от обнаружения, повышая его способность работать незамеченным в течение длительных периодов.

«Сочетание уменьшенных разрешений, географической диверсификации и сложных методов распространения подчеркивает эволюцию Medusa. По мере того как TA уточняют свои тактики, эксперты по кибербезопасности и аналитики по борьбе с мошенничеством должны оставаться бдительными и адаптировать свои защиты, чтобы противостоять этим новым угрозам,» - заключили исследователи.