近日，Cleafy 公司的威脅情報(bào)團(tuán)隊(duì)發(fā)現(xiàn)，專門針對(duì)安卓系統(tǒng)的Medusa銀行木馬軟件再次“卷土重來”。該軟件此前曾對(duì)法國、意大利、美國、加拿大、西班牙、英國和土耳其發(fā)起過攻擊活動(dòng)，沉寂了一年后，如今又出現(xiàn)了新的 Medusa 惡意軟件變種。

Medusa 銀行木馬也被稱為 TangleBot，是 2020 年發(fā)現(xiàn)的一種安卓惡意軟件即服務(wù)（MaaS）操作。該惡意軟件提供鍵盤記錄、屏幕控制和短信操作功能。

雖然名稱相同，但該行動(dòng)不同于勒索軟件團(tuán)伙和基于 Mirai 的分布式拒絕服務(wù)（DDoS）攻擊僵尸網(wǎng)絡(luò)。

研究人員表示，這些惡意軟件變種更輕巧，在設(shè)備上需要的權(quán)限更少，而且包括全屏覆蓋和截圖捕獲。

最新活動(dòng)

Cleafy 的研究人員表示，2023年7月就曾在依靠短信釣魚（"smishing"）的活動(dòng)中發(fā)現(xiàn)了Medusa 變種，它們通過滴注應(yīng)用程序側(cè)載惡意軟件。當(dāng)時(shí)共發(fā)現(xiàn)了 24 個(gè)使用該惡意軟件的活動(dòng)，研究人員將其歸因于五個(gè)獨(dú)立的僵尸網(wǎng)絡(luò)（UNKN、AFETZEDE、ANAKONDA、PEMBE 和 TONY），這些僵尸網(wǎng)絡(luò)負(fù)責(zé)發(fā)送惡意應(yīng)用程序。

UNKN 僵尸網(wǎng)絡(luò)由一群不同的威脅行為者運(yùn)營，主要針對(duì)歐洲國家，特別是法國、意大利、西班牙和英國。

Medusa 僵尸網(wǎng)絡(luò)和集群概述，資料來源： Cleafy

在這些攻擊中使用的釣魚應(yīng)用程序包括一個(gè)虛假的 Chrome 瀏覽器、一個(gè) 5G 連接應(yīng)用程序和一個(gè)名為 4K Sports 的假冒流媒體應(yīng)用程序。

鑒于 2024 年歐洲杯正在進(jìn)行中，選擇 4K 體育流媒體應(yīng)用程序作為誘餌似乎恰逢其時(shí)。

Cleafy 評(píng)論說，所有活動(dòng)和僵尸網(wǎng)絡(luò)都由 Medusa 的中央基礎(chǔ)設(shè)施處理，該基礎(chǔ)設(shè)施從公共社交媒體配置文件中動(dòng)態(tài)獲取指揮和控制（C2）服務(wù)器的 URL。

從秘密渠道檢索 C2 地址，圖片來源：Cleafy

新的 Medusa 變種

Medusa惡意軟件的創(chuàng)建者減少了其在被攻擊設(shè)備上的足跡，現(xiàn)在只要求一小部分權(quán)限。不過仍需要安卓的可訪問性服務(wù)。

此外，該惡意軟件還保留了訪問受害者聯(lián)系人列表和發(fā)送短信的功能。

所申請(qǐng)權(quán)限的比較，資料來源： Cleafy

Cleafy 的分析顯示，惡意軟件作者刪除了前一版本惡意軟件中的 17 條命令，并添加了 5 條新命令：

• destroyo：卸載特定應(yīng)用程序
• permdrawover：請(qǐng)求 "Drawing Over "權(quán)限
• setoverlay：設(shè)置黑屏覆蓋
• take_scr：截圖
• update_sec：更新用戶秘密

值得注意的是，"setoverlay "命令允許遠(yuǎn)程攻擊者執(zhí)行欺騙性操作，例如使設(shè)備顯示鎖定/關(guān)閉，以掩蓋后臺(tái)發(fā)生的惡意 ODF 活動(dòng)。

實(shí)際黑屏覆蓋，圖片來源：Cleafy

捕獲屏幕截圖的新功能也是此次新增的一個(gè)重要功能，它為威脅者提供了一種從受感染設(shè)備中竊取敏感信息的新方法。

總體而言，Medusa 移動(dòng)銀行木馬的行動(dòng)相比之前擴(kuò)大了目標(biāo)范圍，并且行動(dòng)更加隱蔽難以發(fā)現(xiàn)，為后續(xù)發(fā)起更大規(guī)模的攻擊行動(dòng)“奠定”了基礎(chǔ)。

雖然 Cleafy 目前還未在 Google Play 上發(fā)現(xiàn)任何此類程序，但隨著加入 MaaS 的網(wǎng)絡(luò)犯罪分子數(shù)量不斷增加，其傳播策略也將變得更加復(fù)雜。