曾针对七国安卓用户发起攻击,Medusa银行木马变种“卷土重来”

安全
Medusa 银行木马也被称为 TangleBot,是 2020 年发现的一种安卓恶意软件即服务(MaaS)操作。该恶意软件提供键盘记录、屏幕控制和短信操作功能。

近日,Cleafy 公司的威胁情报团队发现,专门针对安卓系统的Medusa银行木马软件再次“卷土重来”。该软件此前曾对法国、意大利、美国、加拿大、西班牙、英国和土耳其发起过攻击活动,沉寂了一年后,如今又出现了新的 Medusa 恶意软件变种。

Medusa 银行木马也被称为 TangleBot,是 2020 年发现的一种安卓恶意软件即服务(MaaS)操作。该恶意软件提供键盘记录、屏幕控制和短信操作功能。

虽然名称相同,但该行动不同于勒索软件团伙和基于 Mirai 的分布式拒绝服务(DDoS)攻击僵尸网络。

研究人员表示,这些恶意软件变种更轻巧,在设备上需要的权限更少,而且包括全屏覆盖和截图捕获。

最新活动

Cleafy 的研究人员表示,2023年7月就曾在依靠短信钓鱼("smishing")的活动中发现了Medusa 变种,它们通过滴注应用程序侧载恶意软件。当时共发现了 24 个使用该恶意软件的活动,研究人员将其归因于五个独立的僵尸网络(UNKN、AFETZEDE、ANAKONDA、PEMBE 和 TONY),这些僵尸网络负责发送恶意应用程序。

UNKN 僵尸网络由一群不同的威胁行为者运营,主要针对欧洲国家,特别是法国、意大利、西班牙和英国。

Medusa 僵尸网络和集群概述,资料来源: Cleafy

在这些攻击中使用的钓鱼应用程序包括一个虚假的 Chrome 浏览器、一个 5G 连接应用程序和一个名为 4K Sports 的假冒流媒体应用程序。

鉴于 2024 年欧洲杯正在进行中,选择 4K 体育流媒体应用程序作为诱饵似乎恰逢其时。

Cleafy 评论说,所有活动和僵尸网络都由 Medusa 的中央基础设施处理,该基础设施从公共社交媒体配置文件中动态获取指挥和控制(C2)服务器的 URL。

从秘密渠道检索 C2 地址,图片来源:Cleafy

新的 Medusa 变种

Medusa恶意软件的创建者减少了其在被攻击设备上的足迹,现在只要求一小部分权限。不过仍需要安卓的可访问性服务。

此外,该恶意软件还保留了访问受害者联系人列表和发送短信的功能。

所申请权限的比较,资料来源: Cleafy

Cleafy 的分析显示,恶意软件作者删除了前一版本恶意软件中的 17 条命令,并添加了 5 条新命令:

  • destroyo:卸载特定应用程序
  • permdrawover:请求 "Drawing Over "权限
  • setoverlay:设置黑屏覆盖
  • take_scr:截图
  • update_sec:更新用户秘密

值得注意的是,"setoverlay "命令允许远程攻击者执行欺骗性操作,例如使设备显示锁定/关闭,以掩盖后台发生的恶意 ODF 活动。

实际黑屏覆盖,图片来源:Cleafy

捕获屏幕截图的新功能也是此次新增的一个重要功能,它为威胁者提供了一种从受感染设备中窃取敏感信息的新方法。

总体而言,Medusa 移动银行木马的行动相比之前扩大了目标范围,并且行动更加隐蔽难以发现,为后续发起更大规模的攻击行动“奠定”了基础。

虽然 Cleafy 目前还未在 Google Play 上发现任何此类程序,但随着加入 MaaS 的网络犯罪分子数量不断增加,其传播策略也将变得更加复杂。

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2022-08-12 12:09:08

Android平台银行木马勒索攻击

2021-11-16 11:57:52

木马QBot攻击

2023-10-23 10:43:48

2019-05-10 08:19:48

Mirai僵尸网络

2023-12-27 11:41:21

2024-08-12 09:32:12

2012-04-16 15:08:08

2013-09-24 10:15:06

2016-09-09 09:26:42

2021-07-07 09:22:22

SolarWinds黑客漏洞

2021-04-08 09:07:11

VR互联网发展虚拟现实

2014-12-24 14:17:36

2024-06-05 13:22:12

2011-12-21 16:41:38

2021-02-08 23:25:40

DanaBot恶意软件木马

2017-02-15 08:20:13

2024-10-15 15:45:51

2011-08-03 15:04:42

2017-11-14 09:28:05

2020-11-12 06:01:52

Linux勒索软件木马
点赞
收藏

51CTO技术栈公众号