To κακόβουλο λογισμικό Medusa αυξάνει τις επιθέσεις phishing SMS στο Android

To κακόβουλο λογισμικό Medusa αυξάνει τις επιθέσεις phishing SMS στο Android

Το Medusa Android banking Trojan βλέπει αυξημένα ποσοστά μόλυνσης καθώς στοχεύει περισσότερες γεωγραφικές περιοχές για να κλέψει διαπιστευτήρια στο διαδίκτυο και να πραγματοποιήσει οικονομική απάτη.

Σήμερα, οι ερευνητές στο ThreatFabric δημοσίευσαν μια νέα έκθεση που περιγράφει λεπτομερώς τα πιο πρόσφατα κόλπα που χρησιμοποιεί το κακόβουλο λογισμικό Medusa και πώς συνεχίζει να εξελίσσεται με νέες δυνατότητες.

Η Medusa σε άνοδο  

H Medusa (γνωστή και ως TangleBot) δεν είναι ένα νέο τραπεζικό trojan, αλλά έχει αυξηθεί η διανομή, με καμπάνιες που στοχεύουν τώρα τη Βόρεια Αμερική και την Ευρώπη χρησιμοποιώντας την ίδια υπηρεσία διανομής με το διαβόητο κακόβουλο λογισμικό FluBot.

Μια αναφορά παλαιότερα περιέγραφε  ότι οι trojans Medusa και FluBot είχαν χρησιμοποιήσει προηγουμένως το «duckdns.org», ένα δωρεάν δυναμικό DNS που χρησιμοποιήθηκε ως μηχανισμός παράδοσης, επομένως αυτό δεν είναι το πρώτο σημάδι επικάλυψης μεταξύ των δύο.

Σε μια νέα έκθεση του ThreatFabric, οι ερευνητές ανακάλυψαν ότι το MedusaBot χρησιμοποιεί τώρα την ίδια υπηρεσία με το FluBot για να εκτελεί καμπάνιες smishing (SMS phishing).

“Τα δείγματα που εμφανίζονται σε καμπάνιες δίπλα-δίπλα με το Cabassous προσδιορίζονται από τους ίδιους τους ηθοποιούς με τις ετικέτες FLUVOICE, FLUFLASH και FLUDHL (πιθανώς ως αναφορά στις αντίστοιχες καμπάνιες Cabassous/Flubot)”, εξηγεί η ThreatFabric στην έκθεσή τους.

Οι ερευνητές πιστεύουν ότι οι παράγοντες της απειλής της Medusa άρχισαν να χρησιμοποιούν αυτήν την υπηρεσία διανομής αφού είδαν πόσο ευρέως διαδεδομένες και επιτυχημένες είχαν γίνει οι καμπάνιες του FluBot.

Το κύριο πλεονέκτημα της Medusa έγκειται στην κατάχρηση της μηχανής δέσμης ενεργειών «Accessibility» Android, η οποία επιτρέπει στους ηθοποιούς να εκτελούν διάφορες ενέργειες σαν να ήταν ο χρήστης. 

Αυτές οι ενέργειες είναι:

  • home_key – Εκτελεί καθολικές ενέργειες HOME
  • ges – Εκτελεί μια καθορισμένη κίνηση στην οθόνη της συσκευής
  • fid_click – Κλικ στο στοιχείο διεπαφής χρήστη με το καθορισμένο ID
  • αναστολής – Αναστολή λειτουργίας (περιμένει) για τον καθορισμένο αριθμό μικροδευτερόλεπτων
  • πρόσφατα_κλειδί – Εμφανίζει επισκόπηση του οι πρόσφατες εφαρμογές
  • scrshot_key – Εκτελεί TAKE_SCREENSHOT καθολική ενέργεια
  • notification_key – Ανοίγει τις ενεργές ειδοποιήσεις
  • lock_key – Κλειδώνει την οθόνη
  • back_key – Εκτελεί BACK καθολική ενέργεια
  • text_click – Κλικ στο στοιχείο διεπαφής χρήστη που έχει καθορίσει το κείμενο που εμφανίζεται
  • fill_text – Δεν έχει εφαρμοστεί ακόμα

Γενικά, είναι πολύ υψηλό ικανό τραπεζικό trojan με δυνατότητες καταγραφής πλήκτρων, ζωντανή ροή ήχου και βίντεο, επιλογές εκτέλεσης απομακρυσμένων εντολών και πολλά άλλα.

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *