Povratak Medusa Android trojanca

AUTOR ·

Povratak bankarskog trojanca Medusa nije dobra vest za Android korisnike, posebno one u Sjevernoj Americi, Evropi i drugim ciljanim regionima. Nakon niske aktivnosti od 2021. godine, ovaj sofisticirani zlonamjerni softver se ponovo pojavio sa novim varijantama koje zahtijevaju manje dozvola i uključuju dodatne funkcije za olakšavanje prevare direktno na kompromitovanim pametnim telefonima.

Medusa

Povratak Medusa Android trojanca; Source: Bing Image Creator

 MEDUSA ANDROID TROJANAC

Medusa je bankarski trojanac prvenstveno dizajniran da cilja finansijske institucije i olakša bankarske prevare na Android uređajima. Ime Medusa potiče iz grčke mitologije, gdje je Medusa bila Gorgona sa zmijama umjesto kose koja je svakog ko je pogleda direktno mogla da pretvori u kamen. U kontekstu sajber bezbjednosti, Medusa sposobnost da se sakrije i izbjegne otkrivanje čini je jednako opasnom.

Prvi put identifikovan početkom 2020. godine, prvobitno je ciljao turske finansijske institucije, ali je kasnije proširio svoj domet na Sjevernu Ameriku i Evropu do kraja 2021. godine. Zlonamjerni softver se oslanja na Android usluge pristupačnosti da bi funkcionisao, što je značajno upozorenje za sigurnosne istraživače i korisnike. Medusa je povezana sa različitim kampanjama i botnet mrežama koje isporučuju zlonamjerne aplikacije žrtvama putem phishing elektronskih poruka ili linkova za tekstualne poruke. Od jula 2023. godine, pojavile su se različite kampanje u kojima je uočeno da se pojavila nova varijanta sa promijenjenim taktikama, tehnikama i procedurama i ciljajući različite zemlje.

 

Nova varijanta

Nove Medusa varijante zahtijevaju manje dozvola nakon instalacije, što zlonamjernim akterima olakšava da instaliraju trojanac na kompromitovane uređaje bez izazivanja sumnje kod korisnika. Pored toga, ove verzije uključuju nove funkcije koje omogućavaju prevaru direktno na pametnom telefonu:

  1. Presretanje SMS poruka koje sadrže jednokratne lozinke (eng. one-time passwords – OTP) i krađa akreditiva za prijavu iz popularnih bankarskih aplikacija pomoću praćenja korisničkog unosa (eng. keyloggers) ili preklapajućih napada,
  2. Mogućnost zaobilaženja autentifikaciju u dva koraka (eng. two-factor authentication – 2FA), što olakšava napadačima da dobiju neovlašteni pristup nalozima žrtava,
  3. Sposobnost krađe osjetljivih podataka, kao što su kontakti, evidencije poziva i poruke, koji se mogu koristiti u ciljanim phishing kampanjama ili prodati na mračnom internetu,
  4. Mogućnost preuzimanja dodatnog zlonamjernog softvera na kompromitovani uređaj, proširujući njegovu funkcionalnost i povećavajući potencijalnu štetu uzrokovanu infekcijom,
  5. Integracija sa različitim botnet mrežama koje omogućavaju napadačima da kontrolišu zaražene uređaje na daljinu za distribuirane napade uskraćivanja usluge (eng. distributed denial-of-service – DDoS) ili druge zlonamjerne svrhe.

 

Ukupno 17 komandi je uklonjeno iz ove novije Medusa verzije, dok su uvedene nove kao što je postavljanje preklapanja crnog ekrana, pravljenje snimaka ekrana, brisanje aplikacija, postavljanje preklapajućeg sadržaja i mogućnost ažuriranja. Ove promjene olakšavaju zlonamjernim akterima da izvrše prevaru direktno na zaraženom pametnom telefonu bez znanja ili saglasnosti korisnika.

Komanda za preklapanje ekrana je posebno opasna jer omogućava udaljenim napadačima da zaraženi uređaj izgleda kao da je isključen dok se zlonamjerne aktivnosti obavljaju u pozadini. Ovo se može koristiti za zaobilaženje autentifikaciju u dva koraka, koja često zahteva od korisnika da unesu kôd poslat putem tekstualne poruke ili prikazan na ekranu njihovog telefona.

Medusa mogućnost snimanja ekrana pruža zlonamjernim akterima jednostavan način da ukradu osjetljive informacije poput lozinki sa inficiranih uređaja. Pravljenjem snimaka ekrana korisničkog interfejsa i njihovom analizom u potrazi za vrijednim podacima, napadači mogu da dobiju pristup finansijskim računima, akreditivima elektronske pošte, pa čak i ličnim fotografijama i porukama.

Brisanje aplikacija se koristi za daljinsko uklanjanje određene aplikacije sa inficiranog uređaja. Imajući ovu mogućnost, napadači mogu da uklone sve konkurentske ili bezbjednosne aplikacije koje mogu da ometaju njihove zlonamjerne aktivnosti na kompromitovanom uređaju.

Postavljanje preklapajućeg sadržaja omogućava Medusa zlonamjernom softveru da crta sadržaj preko drugih aplikacija i kreira preklapanja, koja bi se mogla koristiti za phishing napade ili krađu korisničkih akreditiva predstavljanjem lažnih obrazaca za prijavu.

Mogućnost ažuriranja je nova komanda koja omogućava zlonamjernim akterima da ažuriraju korisnička podešavanja na kompromitovanim uređajima. Potencijalno bi se mogla koristiti za izmjenu sistemskih postavki, instaliranje dodatnog zlonamjernog softvera ili dobijanje dubljeg pristupa operativnom sistemu uređaja radi dalje eksploatacije.

Novost je i manja veličina ovih novih Medusa varijanti, što znači da će zlonamjerni akteri koji ih koriste moći da prošire svoj domet i ciljaju još veći broj Android korisnika.

 

Distribucija

Medusa botnet grupe se obično oslanjaju na isprobane i testirane pristupe kao što su phishing elektronske poruke ili taktike društvenog inženjeringa za širenje zlonamjernog softvera, ali primijećeni su noviji napadi koji ga propagiraju putem aplikacija za ubacivanje preuzetih iz nepouzdanih izvora. Ove aplikacije za ubacivanje su zlonamjerne datoteke prerušene u legitimna ažuriranja softvera, koji varaju korisnike da preuzmu i instaliraju stvarni zlonamjerni softver na svoje uređaje. Ovo naglašava kontinuirane napore zlonamjernih aktera da razviju svoje taktike i zaobiđu mjere bezbjednosti.

Posmatrane kampanje Medusa varijanti su pokazale da ovaj zlonamjerni softver podržava više botnet mreža istovremeno, svaki sa određenim oznakama i operativnim ciljevima. Identifikovana su dvije različite Medusa botnet grupe:

Prva grupa (AFETZEDE, ANAKONDA, PEMBE, TONY) prvenstveno je ciljala korisnike u Turskoj i neke kampanje proširene na Kanadu i Sjedinjene Američke Države. Druga grupa (UNKN), koja se fokusira na ciljanje zemalja u Evropi, posebno Francuske, Italije, Španije i Velike Britanije.

Otkrivene aplikacije za ubacivanje koje su korišćene u ovim napadima uključivale su lažni Chrome pretraživač, aplikaciju za 5G povezivanje i lažnu aplikaciju za reprodukovanje u realnom vremenu (eng. streaming) pod nazivom 4K Sports. Izbor 4K Sportis aplikacije za reprodukovanje u realnom vremenu kao mamca izgleda blagovremen s obzirom da je UEFA EURO 2024 prvenstvo trenutno u toku.

 

ZAKLJUČAK

Bankarski trojanac Medusa se vratio nakon jednogodišnjeg odsustva sa novim varijantama koje zahtijevaju manje dozvola i koje uključuju dodatne funkcije, što ga čini skrivenijim i sposobnijim da vrši prevaru direktno na kompromitovanim pametnim telefonima. Ovaj pomak ka laganom pristupu omogućava zlonamjernom softveru da izbjegne otkrivanje i da radi neotkriven u dužem vremenskom periodu, proširujući svoj skup žrtava geografski na regione kao što su Italija i Francuska.

Nedavno usvajanje aplikacija za ubacivanje kao metoda distribucije predstavlja značajnu evoluciju u mogućnostima Medusa prijetnje. Ovaj metod predstavlja značajnu evoluciju u strategiji Medusa napada, što ga čini još težim za otkrivanje i suprotstavljanje pre nego što se nanese šteta.

Sve ovo je izazvalo zabrinutost među profesionalcima za sajber bezbjednost širom sveta. Sa svojim smanjenim skupom dozvola, proširenim mogućnostima i novim metodama distribucije, ovaj zlonamjerni softver predstavlja ozbiljnu prijetnju korisnicima Android telefona u različitim zemljama. Ovo samo naglašava važnost implementacije robusnih bezbjednosnih mjera kao što je ažuriranje softvera, izbjegavanje sumnjivih preuzimanja i korištenje renomiranih antivirusnih rješenja za zaštitu od bankarskih prevara i krađe lozinki.

 

ZAŠTITA

Da bi se korisnici i organizacije zaštitili od najnovijih verzija zlonamjernog softvera Medusa koji cilja na Android uređaje, preporuka je da se prate ovi koraci:

  1. Preuzimati aplikacije samo iz pouzdanih izvora, jer preuzimanje aplikacija iz manje pouzdanih prodavnica ili preuzimanje njihovih APK datoteka iz drugih izvora nepoznate reputacije povećava rizik od zaraze zlonamjernim softverom. Aplikacije je potrebno preuzimati iz zvaničnih prodavnica Android aplikacija kao što su Google Play Store, Amazon Appstore i Samsung Galaxy Store,
  2. Potrebno je omogućiti Google Play Protect, jer ova ugrađena funkcija skenira sve postojeće aplikacije na telefonu kao i nove koje se instaliraju na uređaj iz Google Play prodavnice u potrazi za zlonamjernim softverom. Uvjeriti se da je ova opcija omogućena da bi se omogućio dodatni sloj zaštite od Medusa zlonamjernog softvera i drugih prijetnji,
  3. Pored Google Play Protect zaštite, razmisliti o korištenju pouzdane Android antivirusne aplikacije radi dodatne bezbjednosti. Ove aplikacije mogu da pomognu u otkrivanju i uklanjanju zlonamjernog softvera koji Google Play Protect možda nije otkrio ili da zaštite uređaj od novih prijetnji koje Google još nema u svojoj bazi zlonamjernog softvera,
  4. Potrebno je redovno ažurirati i operativni sistem i instalirane aplikacije kako bi se osiguralo da je uređaj zaštićen od najnovijih ranjivosti i poznatih prijetnji, uključujući varijante Medusa zlonamjernog softvera,
  5. Biti oprezan sa elektronskom poštom i vezama, tako što će se izbjegavati da se klikne na sumnjive priloge elektronske pošte ili veze jer oni mogu dovesti do preuzimanja zlonamjernog softvera. Zlonamjerni akteri često koriste phishing napade da prevare korisnike da instaliraju zlonamjerne aplikacije ili pruže osjetljive informacije,
  6. Koristiti jake, jedinstvene lozinke, različite za sve naloge kako bi se spriječio neovlašteni pristup čak i ako je jedan od njih kompromitovan usljed povrede podataka ili na drugi način. Razmisliti o korištenju uglednog menadžera lozinki kako bi se olakšalo upravljanje i generisanje bezbjednih lozinki,
  7. Omogućiti autentifikaciju u dva koraka (eng. two-factor authentication – 2FA), jer omogućava dodatni nivo sigurnosti tako što od korisnika zahteva da obezbijede drugi oblik verifikacije, kao što je kôd poslat putem tekstualne poruke ili generisan preko aplikacije za autentifikaciju, pored korisničkog imena i lozinke prilikom prijavljivanja. Ovo pomaže u zaštiti uređaja od neovlaštenog pristupa čak i ako su akreditivi kompromitovani,
  8. Redovno praviti rezervne kopije podataka, jer u slučaju da korisnik postane žrtva Medusa ili bilo kog drugog zlonamjernog softvera, nedavna rezervna kopija važnih datoteka može pomoći da se smanji šteta i olakša oporavak. Mogu se koristiti usluge skladištenja u oblaku kao što su Google Drive, Dropbox i OneDrive za automatske rezervne kopije,
  9. Biti informisan o najnovijim prijetnjama iz sajber bezbjednosti i najboljim praksama za zaštitu od njih prateći renomirane izvore bezbjednosnih vesti.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.