Android için Medusa bankacılık truva atı neredeyse bir yıl boyunca düşük bir profil sergiledikten sonra Fransa, İtalya, ABD, Kanada, İspanya, İngiltere ve Türkiye’yi hedef alan kampanyalarda yeniden ortaya çıktı. Mayıs ayından bu yana takip edilen yeni faaliyet, daha az izin gerektiren ve doğrudan ele geçirilen cihazdan işlem başlatmak amacıyla yeni özelliklerle birlikte gelen daha kompakt varyantlara dayanıyor.
Türk kullanıcılar özellikle şu ibareleri SMS mesajlarında görüyorsa, hiçbir linki tıklamamaları konusunda uyarılıyorlar:
Aidat İadesi
Youtube Premium
Cimer Aidat İadesi
İnat TV PRO Video Oynatici
Avast Premium
17 Agustos
İnat TV Video Oynatici
Android 14 Guncellemesi
TangleBot olarak da bilinen Medusa bankacılık truva atı, 2020 yılında keşfedilen bir Android hizmet olarak kötü amaçlı yazılım (MaaS) operasyonu. Kötü amaçlı yazılım tuş kaydı, ekran kontrolleri ve SMS manipülasyonu sağlar. Aynı isme sahip olmasına rağmen, operasyon Medusa fidye yazılımı çetesinden ve dağıtılmış hizmet reddi (DDoS) saldırıları için kullanılan Mirai tabanlı botnetten farklı.
Son kampanyalar, çevrimiçi dolandırıcılık yönetimi şirketi Cleafy’nin tehdit istihbarat ekibi tarafından keşfedildi ve kötü amaçlı yazılım varyantlarının şimdi daha güçlü olduğu ortaya çıktı. Medusa varyantları şimdi daha küçük, cihazda daha az izlemeye ihtiyaç duyuyor ve tam ekran bindirme ve ekran görüntüsü yakalama özellikleri barındırıyor.
Medusa varyantları aktif olarak kullanılıyor
Araştırmacılar, son Medusa varyantlarının ilk kanıtının Temmuz 2023’e ait olduğunu söylüyor. Cleafy, kötü amaçlı yazılımı SMS kimlik avına (‘smishing’) dayanan kampanyalarda gözlemledi. Araştırmacılar, kötü amaçlı yazılımı kullanan 24 kampanya keşfetti ve bunları kötü amaçlı uygulamalar sunan beş ayrı botnet (UNKN, AFETZEDE, ANAKONDA, PEMBE ve TONY) ile ilişkilendirdi.
UNKN botnet’i, başta Fransa, İtalya, İspanya ve İngiltere olmak üzere Avrupa’daki ülkeleri hedef almaya odaklanan farklı bir tehdit aktörleri kümesi tarafından işletiliyor. AFETZEDE, ANAKONDA, TONY ve PEMBE ise Türkiye’yi hedef alıyor.
Popüler kandırmaca yöntemi 4K Sports
Bu saldırılarda kullanılan son dropper uygulamaları arasında sahte bir Chrome tarayıcı, bir 5G bağlantı uygulaması ve 4K Sports adlı sahte bir yayın uygulaması yer alıyor. UEFA EURO 2024 şampiyonasının şu anda devam ettiği göz önüne alındığında, yem olarak 4K Sports yayın uygulamasının seçilmesi zamanlama açısından manidar görünüyor.
Cleafy, tüm kampanyaların ve botnetlerin Medusa’nın komuta ve kontrol (C2) sunucusu için URL’leri halka açık sosyal medya profillerinden dinamik olarak alan merkezi altyapısı tarafından yönetildiğini belirtiyor.
Medusa varyantının yeni özellikleri
Medusa kötü amaçlı yazılımının yazarları, ele geçirilen cihazlardaki ayak izini azaltmayı tercih ederek artık yalnızca küçük bir dizi izin talep ediyor, ancak yine de Android’in Erişilebilirlik Hizmetlerine ihtiyaç duyuyor. Ayrıca kötü amaçlı yazılım, kurbanın kişi listesine erişme ve önemli bir dağıtım yöntemi olan SMS gönderme yeteneğini koruyor.
Cleafy’nin analizi, kötü amaçlı yazılım yazarlarının kötü amaçlı yazılımın önceki sürümünden 17 komutu kaldırdığını ve beş yeni komut eklediğini gösteriyor:
destroyo: belirli bir uygulamayı kaldır
permdrawover: ‘Üzerinde Çizim’ izni talep edin
setoverlay: siyah bir ekran kaplaması ayarlayın
take_scr: ekran görüntüsü al
update_sec: kullanıcı gizliliğini güncelle
‘setoverlay’ komutu, uzaktan saldırganların arka planda gerçekleşen kötü niyetli ODF faaliyetlerini maskelemek için cihazın kilitli/kapalı görünmesini sağlamak gibi aldatıcı eylemler gerçekleştirmesine olanak tanıdığı için dikkat çekicidir.
Ekran görüntüsü yakalama özelliği de tehdit aktörlerine virüs bulaşmış cihazlardan hassas bilgileri çalmak için yeni bir yol sunan önemli bir eklenti. Cleafy henüz Google Play’de herhangi bir dropper uygulaması gözlemlememiş olsa da, MaaS’a katılan siber suçluların sayısı arttıkça, dağıtım stratejilerinin çeşitlenmesi ve daha sofistike hale gelmesi kaçınılmaz.