Siber güvenlik araştırmacıları, Android bankacılık trojanının güncellenmiş bir versiyonunu keşfettiler. Medusa Kanada, Fransa, İtalya, İspanya, Türkiye, Birleşik Krallık ve ABD’deki kullanıcıları hedeflemek için kullanıldı
Siber güvenlik firması Cleafy, geçen hafta yayınlanan bir analizde, Mayıs 2024’te gözlemlenen ve Temmuz 2023’ten bu yana aktif olan yeni dolandırıcılık kampanyalarının, çeşitli bağlı kuruluşlar tarafından işletilen beş farklı botnet aracılığıyla ortaya çıktığını söyledi.
Güvenlik araştırmacıları Simone Mattia ve Federico Valentini, yeni Medusa örneklerinin “hafif bir izin seti ve tam ekran kaplama görüntüleme ve uygulamaları uzaktan kaldırma gibi yeni özellikler” içerdiğini söyledi.
TangleBot olarak da bilinen Medusa, ilk olarak Temmuz 2020’de keşfedilen ve Türkiye’deki finansal kuruluşları hedef alan gelişmiş bir Android kötü amaçlı yazılımıdır. SMS mesajlarını okuma, tuş vuruşlarını kaydetme, ekran görüntüleri yakalama, çağrıları kaydetme, cihaz ekranını gerçek zamanlı olarak paylaşma ve bankacılık kimlik bilgilerini çalmak için katman saldırılarını kullanarak yetkisiz para transferleri gerçekleştirme yetenekleriyle birlikte gelir.
Şubat 2022’de ThreatFabric, kötü amaçlı yazılımları görünüşte zararsız paket teslimatı ve yardımcı uygulamalar olarak maskeleyerek FluBot’un (diğer adıyla Cabassous)kine benzer dağıtım mekanizmalarından yararlanan Medusa kampanyalarını ortaya çıkardı. Truva atının arkasındaki tehdit aktörlerinin Türkiye’den olduğundan şüpheleniliyor.
Cleafy’nin son analizi, yalnızca kötü amaçlı yazılımdaki iyileştirmeleri değil, aynı zamanda sahte güncellemeler kisvesi altında Medusa’yı yaymak için damlalık uygulamalarının kullanıldığını da ortaya koyuyor. Ayrıca Telegram ve X gibi meşru hizmetler, veri sızdırma için kullanılan komuta ve kontrol (C2) sunucusunu almak için ölü çözümleyiciler olarak kullanılıyor.
Dikkat çekici bir değişiklik, tespit şansını düşürme çabasıyla istenen izin sayısındaki azalmadır. Bununla birlikte, yine de Android’in erişilebilirlik hizmetleri API’sini gerektirir ve bu da gerektiğinde diğer izinleri gizlice etkinleştirmesine ve kullanıcı şüphesi yaratmaktan kaçınmasına olanak tanır.
Diğer bir değişiklik ise, kurbanın cihazına, cihazın kilitli veya kapalı olduğu izlenimini verecek şekilde siyah bir ekran kaplaması yerleştirme ve bunu kötü amaçlı faaliyetler gerçekleştirmek için bir kılıf olarak kullanma yeteneğidir.
Medusa botnet kümeleri genellikle kötü amaçlı yazılımı yaymak için kimlik avı gibi denenmiş ve test edilmiş yaklaşımlara dayanır. Bununla birlikte, güvenilmeyen kaynaklardan indirilen damlalık uygulamaları aracılığıyla virüsün yayıldığı daha yeni dalgaların gözlemlenmesi, tehdit aktörlerinin taktiklerini geliştirmeye yönelik devam eden çabalarının altını çiziyor.
Araştırmacılar, “Gerekli izinlerin en aza indirilmesi, tespit edilmekten kaçınır ve daha zararsız görünür, böylece uzun süreler boyunca tespit edilmeden çalışma kabiliyetini artırır” dedi. “Coğrafi olarak, kötü amaçlı yazılım İtalya ve Fransa gibi yeni bölgelere yayılıyor, bu da kurban havuzunu çeşitlendirmek ve saldırı yüzeyini genişletmek için kasıtlı bir çabaya işaret ediyor.”
Bu gelişme, Symantec’in Android için hayali Chrome tarayıcı güncellemelerinin Cerberus bankacılık truva atını düşürmek için bir tuzak olarak kullanıldığını ortaya çıkarmasıyla ortaya çıktı. Sahte Telegram uygulamalarını sahte web siteleri (“telegromlar”) aracılığıyla dağıtan benzer kampanyalar[.]”icu” olarak da bilinen bazı saldırganların ayrıca SpyMax adı verilen başka bir Android zararlı yazılımını dağıttıkları da gözlemlendi.
Uygulama yüklendikten sonra kullanıcıdan erişilebilirlik hizmetlerini etkinleştirmesini ister ve tuş vuruşlarını, kesin konumları ve hatta cihazın hareket hızını bile toplamasına olanak tanır. Toplanan bilgiler daha sonra sıkıştırılır ve kodlanmış bir C2 sunucusuna aktarılır.
K7 Security Labs, “SpyMax, kullanıcının izni olmadan virüs bulaşmış cihazdan kişisel/özel bilgileri toplama ve bunları uzak bir tehdit aktörüne gönderme yeteneğine sahip bir uzaktan yönetim aracıdır (RAT). “Bu, tehdit aktörlerinin kurbanların mahremiyetinin ve verilerinin gizliliğini ve bütünlüğünü etkileyen kurbanların cihazlarını kontrol etmesine olanak tanıyor.”