Уровень заражения банковского троянца Medusa для Android растет, поскольку он нацелен на большее количество географических регионов для кражи учетных данных в Интернете и совершения финансовых махинаций.
Сегодня исследователи из ThreatFabric опубликовали новый отчет, в котором подробно описаны последние уловки, используемые вредоносным ПО Medusa, и то, как оно продолжает развиваться с новыми функциями.
Медуза на подъеме
Medusa (он же TangleBot) не является новым банковским трояном, но его распространение увеличилось, и кампании теперь нацелены на Северную Америку и Европу с использованием той же службы распространения, что и печально известная вредоносная программа FluBot.
BleepingComputer ранее сообщал, что трояны Medusa и FluBot ранее использовали «duckdns.org», бесплатный динамический DNS, который использовался в качестве механизма доставки, так что это не первый признак совпадения между ними.
В новом отчете ThreatFabric исследователи обнаружили, что MedusaBot теперь использует тот же сервис, что и FluBot, для проведения смишинговых (SMS-фишинговых) кампаний.
«Образцы, увиденные в параллельных кампаниях с Cabassous, идентифицируются самими участниками с помощью тегов FLUVOICE, FLUFLASH и FLUDHL (возможно, как отсылка к соответствующим кампаниям Cabassous/Flubot)», — поясняет ThreatFabric в своем отчете .
Исследователи полагают, что злоумышленники Medusa начали использовать этот сервис распространения после того, как увидели, насколько широко распространились и стали успешными кампании FluBot.
Основная сила Medusa заключается в злоупотреблении механизмом сценариев Android «Accessibility», который позволяет актерам выполнять различные действия, как если бы они были пользователем.
Эти действия:
- home_key — выполняет глобальное действие HOME
- ges — выполняет указанный жест на экране устройства
- fid_click — клики по элементу пользовательского интерфейса с указанным идентификатором
- sleep — спит (ждет) указанное количество микросекунд
- Recent_key — показывает обзор последних приложений.
- scrshot_key — выполняет глобальное действие TAKE_SCREENSHOT
- уведомление_ключ — открывает активные уведомления
- lock_key — блокирует экран
- back_key — выполняет глобальное действие НАЗАД
- text_click — клики по элементу пользовательского интерфейса, для которого отображается указанный текст.
- fill_text — еще не реализовано
В общем, это очень мощный банковский троян с функциями кейлогинга, потоковой передачей аудио и видео в реальном времени, опциями удаленного выполнения команд и многим другим.
ThreatFabric удалось получить доступ к серверной панели администрирования вредоносной программы и обнаружить, что ее операторы могут редактировать любое поле в любом банковском приложении, запущенном на устройстве. Эта функция позволяет вредоносным программам нацеливаться практически на любую банковскую платформу с поддельными фишинговыми формами входа для кражи учетных данных.
Вредоносное ПО обычно распространяется поддельными приложениями DHL или Purolator, но исследователи также видели пакеты, маскирующиеся под Android Update, Flash Player, Amazon Locker и Video Player.
Эти APK-файлы устанавливаются вручную самими жертвами, которые получают SMS-сообщение с URL-адресом, ведущим на сайт, на котором размещено вредоносное приложение для Android.
Чтобы предотвратить заражение этими вредоносными программами, всегда рассматривайте странные URL-адреса, отправленные из вашего списка контактов, как ненадежные, поскольку они могли быть отправлены вредоносным ПО на устройстве отправителя.
Как всегда, ни при каких обстоятельствах не загружайте APK-файлы с неизвестных веб-сайтов, так как они неизменно приводят к заражению вредоносным ПО.
Последнее обновление 05.01.2023
