Medusa Mobile-Malware
Der Banking-Trojaner Medusa ist nach fast einem Jahr in geringerem Maße aufgetaucht und hat Länder wie Frankreich, Italien, die USA, Kanada, Spanien, Großbritannien und die Türkei im Visier. Diese seit Mai beobachtete neuerliche Aktivität umfasst optimierte Varianten, die weniger Berechtigungen erfordern und neue Funktionen einführen, die darauf abzielen, Transaktionen direkt von infizierten Geräten aus zu initiieren.
Der auch als TangleBot bezeichnete Medusa- Banking-Trojaner ist ein 2020 entdeckter Android Malware-as-a-Service (MaaS). Diese Malware bietet Funktionen wie Keylogging, Bildschirmmanipulation und SMS-Steuerung. Trotz des gleichen Namens unterscheidet sich diese Operation von der Ransomware-Gruppe und dem Mirai -basierten Botnetz, das für Distributed Denial-of-Service (DDoS)-Angriffe bekannt ist.
Inhaltsverzeichnis
Bedrohliche Kampagnen mit der mobilen Malware Medusa
Die neuesten Medusa-Varianten wurden erstmals im Juli 2023 gesichtet. Damals beobachteten Forscher sie in Kampagnen, die SMS-Phishing („Smishing“) nutzten, um Malware über Dropper-Anwendungen zu verbreiten. Insgesamt wurden 24 Kampagnen identifiziert, die diese Varianten nutzen. Sie sind mit fünf verschiedenen Botnetzen (UNKN, AFETZEDE, ANAKONDA, PEMBE und TONY) verknüpft, die jeweils für die Bereitstellung schädlicher Anwendungen verantwortlich sind.
Das UNKN-Botnetz wird von einer speziellen Gruppe von Bedrohungsakteuren betrieben, die sich auf europäische Länder, insbesondere Frankreich, Italien, Spanien und Großbritannien, konzentriert. Zu den jüngsten Dropper-Anwendungen, die bei diesen Angriffen zum Einsatz kommen, gehören:
- Ein gefälschter Chrome-Browser.
- Eine angebliche 5G-Konnektivitätsanwendung.
- Eine gefälschte Streaming-Anwendung namens 4K Sports.
Die Wahl der 4K-Sportanwendung als Köder fällt mit der laufenden UEFA EURO 2024 zusammen und ist somit ein zeitgemäßer Köder.
Experten weisen darauf hin, dass alle diese Kampagnen und Botnetze über die zentrale Infrastruktur von Medusa verwaltet werden, die Command-and-Control (C2)-Server-URLs dynamisch von öffentlich zugänglichen Social-Media-Profilen abruft.
Neue Änderungen in den Medusa-Malware-Versionen
Die Entwickler der Medusa-Malware haben sich dafür entschieden, die Auswirkungen auf infizierte Geräte zu minimieren, indem sie die Anzahl der erforderlichen Berechtigungen reduziert haben. Allerdings sind die Bedienungshilfen von Android weiterhin erforderlich. Trotz dieser Reduzierung behält die Malware die Möglichkeit, auf die Kontaktliste des Opfers zuzugreifen und SMS-Nachrichten zu senden, was weiterhin eine wichtige Methode für ihre Verbreitung ist.
Die Analyse zeigt, dass die Autoren der Malware 17 Befehle aus der vorherigen Version entfernt und fünf neue eingeführt haben:
- Destroyo: Deinstallieren Sie eine bestimmte Anwendung
- Permdrawover: Fordern Sie die Berechtigung „Drawing Over“ an
- Setoverlay: Wenden Sie ein schwarzes Bildschirm-Overlay an
- Take_scr: einen Screenshot machen
- Update_sec: Benutzergeheimnis aktualisieren
Besonders besorgniserregend ist der Befehl „setoverlay“, der es Remote-Angreifern ermöglicht, irreführende Manöver auszuführen, wie etwa die Anzeige eines gesperrten oder ausgeschalteten Bildschirms, um bedrohliche Aktivitäten wie im Hintergrund stattfindende, nicht autorisierte Geldtransfers zu verschleiern.
Die neu hinzugefügte Möglichkeit, Screenshots aufzunehmen, stellt eine wesentliche Verbesserung dar und bietet Bedrohungsakteuren eine neue Methode, um vertrauliche Informationen von kompromittierten Geräten zu extrahieren.
Medusas Betreiber erweitern ihren Fokus
Der Mobile-Banking-Trojaner Medusa scheint seinen Fokus auszuweiten und heimlichere Taktiken anzuwenden, was den Weg für einen Einsatz in größerem Maßstab und eine höhere Zahl an Opfern ebnet. Zwar haben Forscher noch keine der Dropper-Apps auf Google Play identifiziert, aber die zunehmende Beteiligung von Cyberkriminellen an Malware-as-a-Service (MaaS) lässt darauf schließen, dass die Verbreitungsstrategien wahrscheinlich vielfältiger und ausgefeilter werden.
