Поделиться
Новая версия известного троянца делает вид, что выключает смартфон
Вредонос Medusa/Tanglebot расширил свой географический ареал и методы распространения. Помимо фишинга он теперь использует дропперы, требует очень мало разрешений и использует чёрный экран для прикрытия своей деятельности.
Многостаночник
Новая версия банковского троянца Medusa с июля 2023 г. треплет нервы пользователям в Канаде, Франции, Италии, Испании, Турции, Великобритании и США.
Сэмплы программы, перехваченные в мае этого года экспертами компании Cleafy, показывают, что троянец запрашивает ограниченный набор разрешений, но при этом способен перекрывать весь дисплей устройства собственным экраном и даже удалённо деинсталлировать приложения.
В течение последнего года распространением троянца занимались как минимум пять ботнетов, управление которыми осуществляли различные партнёры создателей Medusa.
Этот вредонос, также известный как TangleBot, был впервые обнаружен в 2020 г., когда атакам с его использованием подверглись финансовые учреждения в Турции.
Medusa обладает весьма широким диапазоном функций. В частности, она «умеет» читать SMS-сообщения, перехватывать нажатия клавиш, делать скриншоты, записывать звонки, транслировать содержимое дисплея оператору вредоноса в режиме реального времени, а также производить несанкционированные финансовые транзакции с помощью перехваченных (с помощью фальшивых экранов) банковских реквизитов доступа.
В феврале 2022 г. аналитики компании ThreatFabric обнаружили, что Medusa использует те же механизмы доставки, что и FluBot/Cabassous, выдавая вредонос за безвредные утилиты.
Эксперты считают, что Medusa была разработана в Турции.
Аналитики Cleafy указывают, что новая версия привносит не только усовершенствования, но и новые подходы к распространению. Теперь Medusa использует сторонние дропперы, которые выдают троянец за обновления к легитимным приложениям.
Впрочем, использование этой методики не отменяет более традиционного фишинга, посредством которого вредонос продолжает активно распространяться.
Кроме того, злоумышленники используют аккаунты в Telegram и X/Twitter для перенаправления данных от командного сервера.
Скрытен, склонен темнить
Новая версия Medusa требует даже меньше разрешений на устройстве, чем прежде: это явная попытка снизить вероятность обнаружения. Тем не менее, троянец до сих пор пытается получить доступ к API службы Android Accessibility Services, и через неё уже скрытно обеспечить себе необходимые разрешения.
«Все эти преобразования означают, что Medusa находится в активной разработке и что её создатели стремятся найти всё новые и новые способы увеличить охват и снизить заметность троянца», - говорит Анастасия Мельникова, эксперт по информационной безопасности компании SEQ. По ее словам, «подсвечивание» со стороны специалистов по кибербезопасности хоть и сказывается на status quo вредоносных программ, но очень редко заставляет злоумышленников бросить разработку.
По мнению эксперта, это обстоятельство связано, помимо прочего, с тем, что основным объектом фишинговых атак являются люди. Технические разработки затрудняют распространение и проникновение вредоносов на пользовательские устройства, но даже самые совершенные технические средства будут бессильны, если пользователь поддаётся на уловки злоумышленников, игнорирует все предупреждения и запускает вредоносную программу у себя на устройстве.
Ещё одним нововведением оказался чёрный перекрывающий экран, который должен создавать у пользователя впечатление, будто устройство заблокировано или разряжено. На деле же под прикрытием этого экрана Medusa и осуществляет основные вредоносные действия.
Поделиться
Короткая ссылка
