ai30logo500whitecroped

هیچ محصولی در سبد خرید نیست.

ورود
ai30logo500whitecroped

هیچ محصولی در سبد خرید نیست.

انواع بدافزار جدید مدوسا کاربران اندروید را در هفت کشور هدف قرار می دهد

تروجان بانکی مدوسا برای اندروید پس از تقریباً یک سال کمپین هایی که فرانسه، ایتالیا، ایالات متحده، کانادا، اسپانیا، بریتانیا و ترکیه را هدف قرار داده بودند، دوباره ظاهر شد.
فعالیت جدید از ماه مه ردیابی شده است و بر انواع فشرده‌تر متکی است که به مجوزهای کمتری نیاز دارند و با ویژگی‌های جدید در تلاش برای شروع معاملات مستقیماً از دستگاه در معرض خطر هستند.
تروجان بانکی مدوسا که با نام TangleBot نیز شناخته می‌شود، یک عملیات بدافزار اندرویدی به‌عنوان سرویس (MaaS) است که در سال 2020 کشف شد. این بدافزار امکان ثبت کلید، کنترل‌های صفحه و دستکاری پیامک را فراهم می‌کند.
اگرچه نام یکسانی دارد، اما این عملیات با گروه باج‌افزار و بات‌نت مبتنی بر Mirai برای حملات انکار سرویس توزیع‌شده (DDoS) متفاوت است.
کمپین‌های اخیر توسط تیم اطلاعاتی تهدید در شرکت مدیریت کلاهبرداری آنلاین Cleafy کشف شد، که می‌گوید انواع بدافزار سبک‌تر هستند، به مجوزهای کمتری روی دستگاه نیاز دارند و شامل پوشش تمام‌صفحه و گرفتن اسکرین شات می‌شوند.
آخرین کمپین ها
به گفته محققان، اولین شواهد مربوط به انواع اخیر مدوزا مربوط به جولای 2023 است. Cleafy آنها را در کمپین‌هایی مشاهده کرد که به فیشینگ پیامکی (“smishing”) برای بارگذاری جانبی بدافزار از طریق برنامه‌های dropper متکی بودند.
محققان 24 کمپین را با استفاده از این بدافزار کشف کردند و آنها را به پنج بات‌نت جداگانه (UNKN، AFETZEDE، ANAKONDA، PEMBE و TONY) نسبت دادند که برنامه‌های مخرب را ارائه می‌کردند.
بات‌نت UNKN توسط گروهی متمایز از بازیگران تهدید اداره می‌شود که بر کشورهای اروپایی، به‌ویژه فرانسه، ایتالیا، اسپانیا و بریتانیا تمرکز می‌کنند.

مروری بر بات‌نت‌ها و خوشه‌های مدوزا منبع: Cleafy
برنامه های قطره چکانی اخیر مورد استفاده در این حملات شامل یک مرورگر جعلی کروم، یک برنامه اتصال 5G و یک برنامه پخش جعلی به نام 4K Sports است.
با توجه به اینکه مسابقات قهرمانی یوفا یورو 2024 در حال حاضر در حال انجام است، انتخاب برنامه پخش جریانی 4K Sports به عنوان طعمه به موقع به نظر می رسد.
نظرات واضحی مبنی بر اینکه همه کمپین ها و بات نت ها توسط زیرساخت مرکزی مدوسا مدیریت می شوند، که به صورت پویا URL ها را برای سرور فرمان و کنترل (C2) از پروفایل های رسانه های اجتماعی عمومی دریافت می کند.

بازیابی آدرس های C2 از کانال های مخفی منبع: Cleafy
نوع جدید مدوسا
نویسندگان بدافزار Medusa ترجیح داده‌اند ردپای آن را در دستگاه‌های در معرض خطر کاهش دهند، اکنون فقط مجموعه‌ای کوچک از مجوزها را درخواست می‌کنند، اما همچنان به خدمات دسترسی اندروید نیاز دارند.
همچنین، بدافزار توانایی خود را برای دسترسی به لیست مخاطبین قربانی و ارسال پیامک، یک روش توزیع کلید، حفظ می‌کند.

مقایسه مجوزهای درخواستی منبع: Cleafy
تجزیه و تحلیل Cleafy نشان می‌دهد که نویسندگان بدافزار 17 دستور را از نسخه قبلی بدافزار حذف کرده و پنج فرمان جدید اضافه کرده‌اند:
Destroy: حذف نصب یک برنامه خاص
permdrawover: درخواست مجوز “Drawing Over”.
setoverlay: یک پوشش صفحه سیاه را تنظیم کنید
take_scr: اسکرین شات بگیرید
update_sec: به روز رسانی رمز کاربر
دستور “setoverlay” قابل توجه است زیرا به مهاجمان راه دور اجازه می دهد تا اقدامات فریبنده ای مانند قفل کردن/خاموش نشان دادن دستگاه انجام دهند تا فعالیت های ODF مخربی را که در پس زمینه رخ می دهند پنهان کنند.

پوشش صفحه سیاه در actionSource: Cleafy
قابلیت جدید برای گرفتن اسکرین شات نیز یک نکته مهم است که به عوامل تهدید راه جدیدی برای سرقت اطلاعات حساس از دستگاه های آلوده می دهد.
به طور کلی، به نظر می رسد که عملیات تروجان بانکداری تلفن همراه مدوزا دامنه هدف گذاری خود را گسترش داده و مخفیانه تر می شود و زمینه را برای استقرار گسترده تر و تعداد قربانیان بیشتر فراهم می کند.
اگرچه Cleafy هنوز هیچ یک از برنامه‌های dropper را در Google Play مشاهده نکرده است، با افزایش تعداد مجرمان سایبری که به MaaS می‌پیوندند، استراتژی‌های توزیع متنوع‌تر و پیچیده‌تر می‌شوند.

مطالب مشابه
نظرات بسته شده است.