近日，Cleafy 公司的威脅情報團隊發現，專門針對安卓系統的Medusa銀行木馬軟件再次“卷土重來”。該軟件此前曾對法國、意大利、美國、加拿大、西班牙、英國和土耳其發起過攻擊活動，沉寂了一年后，如今又出現了新的 Medusa 惡意軟件變種。

Medusa 銀行木馬也被稱為 TangleBot，是 2020 年發現的一種安卓惡意軟件即服務（MaaS）操作。該惡意軟件提供鍵盤記錄、屏幕控制和短信操作功能。

雖然名稱相同，但該行動不同于勒索軟件團伙和基于 Mirai 的分布式拒絕服務（DDoS）攻擊僵尸網絡。

研究人員表示，這些惡意軟件變種更輕巧，在設備上需要的權限更少，而且包括全屏覆蓋和截圖捕獲。

最新活動

Cleafy 的研究人員表示，2023年7月就曾在依靠短信釣魚（"smishing"）的活動中發現了Medusa 變種，它們通過滴注應用程序側載惡意軟件。當時共發現了 24 個使用該惡意軟件的活動，研究人員將其歸因于五個獨立的僵尸網絡（UNKN、AFETZEDE、ANAKONDA、PEMBE 和 TONY），這些僵尸網絡負責發送惡意應用程序。

UNKN 僵尸網絡由一群不同的威脅行為者運營，主要針對歐洲國家，特別是法國、意大利、西班牙和英國。

Medusa 僵尸網絡和集群概述，資料來源： Cleafy

在這些攻擊中使用的釣魚應用程序包括一個虛假的 Chrome 瀏覽器、一個 5G 連接應用程序和一個名為 4K Sports 的假冒流媒體應用程序。

鑒于 2024 年歐洲杯正在進行中，選擇 4K 體育流媒體應用程序作為誘餌似乎恰逢其時。

Cleafy 評論說，所有活動和僵尸網絡都由 Medusa 的中央基礎設施處理，該基礎設施從公共社交媒體配置文件中動態獲取指揮和控制（C2）服務器的 URL。

從秘密渠道檢索 C2 地址，圖片來源：Cleafy

新的 Medusa 變種

Medusa惡意軟件的創建者減少了其在被攻擊設備上的足跡，現在只要求一小部分權限。不過仍需要安卓的可訪問性服務。

此外，該惡意軟件還保留了訪問受害者聯系人列表和發送短信的功能。

所申請權限的比較，資料來源： Cleafy

Cleafy 的分析顯示，惡意軟件作者刪除了前一版本惡意軟件中的 17 條命令，并添加了 5 條新命令：

• destroyo：卸載特定應用程序
• permdrawover：請求 "Drawing Over "權限
• setoverlay：設置黑屏覆蓋
• take_scr：截圖
• update_sec：更新用戶秘密

值得注意的是，"setoverlay "命令允許遠程攻擊者執行欺騙性操作，例如使設備顯示鎖定/關閉，以掩蓋后臺發生的惡意 ODF 活動。

實際黑屏覆蓋，圖片來源：Cleafy

捕獲屏幕截圖的新功能也是此次新增的一個重要功能，它為威脅者提供了一種從受感染設備中竊取敏感信息的新方法。

總體而言，Medusa 移動銀行木馬的行動相比之前擴大了目標范圍，并且行動更加隱蔽難以發現，為后續發起更大規模的攻擊行動“奠定”了基礎。

雖然 Cleafy 目前還未在 Google Play 上發現任何此類程序，但隨著加入 MaaS 的網絡犯罪分子數量不斷增加，其傳播策略也將變得更加復雜。