Site icon TechInside

Bu SMS’leri kesinlikle açmayın!

Android için Medusa bankacılık truva atı neredeyse bir yıl boyunca düşük bir profil sergiledikten sonra Fransa, İtalya, ABD, Kanada, İspanya, İngiltere ve Türkiye’yi hedef alan kampanyalarda yeniden ortaya çıktı. Mayıs ayından bu yana takip edilen yeni faaliyet, daha az izin gerektiren ve doğrudan ele geçirilen cihazdan işlem başlatmak amacıyla yeni özelliklerle birlikte gelen daha kompakt varyantlara dayanıyor.

Türk kullanıcılar özellikle şu ibareleri SMS mesajlarında görüyorsa, hiçbir linki tıklamamaları konusunda uyarılıyorlar:

Aidat İadesi

Youtube Premium

Cimer Aidat İadesi

İnat TV PRO Video Oynatici

Avast Premium

17 Agustos

İnat TV Video Oynatici

Android 14 Guncellemesi

TangleBot olarak da bilinen Medusa bankacılık truva atı, 2020 yılında keşfedilen bir Android hizmet olarak kötü amaçlı yazılım (MaaS) operasyonu. Kötü amaçlı yazılım tuş kaydı, ekran kontrolleri ve SMS manipülasyonu sağlar. Aynı isme sahip olmasına rağmen, operasyon Medusa fidye yazılımı çetesinden ve dağıtılmış hizmet reddi (DDoS) saldırıları için kullanılan Mirai tabanlı botnetten farklı.

Son kampanyalar, çevrimiçi dolandırıcılık yönetimi şirketi Cleafy’nin tehdit istihbarat ekibi tarafından keşfedildi ve kötü amaçlı yazılım varyantlarının şimdi daha güçlü olduğu ortaya çıktı. Medusa varyantları şimdi daha küçük, cihazda daha az izlemeye ihtiyaç duyuyor ve tam ekran bindirme ve ekran görüntüsü yakalama özellikleri barındırıyor.

Medusa varyantları aktif olarak kullanılıyor

Araştırmacılar, son Medusa varyantlarının ilk kanıtının Temmuz 2023’e ait olduğunu söylüyor. Cleafy, kötü amaçlı yazılımı SMS kimlik avına (‘smishing’) dayanan kampanyalarda gözlemledi. Araştırmacılar, kötü amaçlı yazılımı kullanan 24 kampanya keşfetti ve bunları kötü amaçlı uygulamalar sunan beş ayrı botnet (UNKN, AFETZEDE, ANAKONDA, PEMBE ve TONY) ile ilişkilendirdi.

UNKN botnet’i, başta Fransa, İtalya, İspanya ve İngiltere olmak üzere Avrupa’daki ülkeleri hedef almaya odaklanan farklı bir tehdit aktörleri kümesi tarafından işletiliyor. AFETZEDE, ANAKONDA, TONY ve PEMBE ise Türkiye’yi hedef alıyor.

Popüler kandırmaca yöntemi 4K Sports

Bu saldırılarda kullanılan son dropper uygulamaları arasında sahte bir Chrome tarayıcı, bir 5G bağlantı uygulaması ve 4K Sports adlı sahte bir yayın uygulaması yer alıyor. UEFA EURO 2024 şampiyonasının şu anda devam ettiği göz önüne alındığında, yem olarak 4K Sports yayın uygulamasının seçilmesi zamanlama açısından manidar görünüyor.

Cleafy, tüm kampanyaların ve botnetlerin Medusa’nın komuta ve kontrol (C2) sunucusu için URL’leri halka açık sosyal medya profillerinden dinamik olarak alan merkezi altyapısı tarafından yönetildiğini belirtiyor.

Medusa varyantının yeni özellikleri

Medusa kötü amaçlı yazılımının yazarları, ele geçirilen cihazlardaki ayak izini azaltmayı tercih ederek artık yalnızca küçük bir dizi izin talep ediyor, ancak yine de Android’in Erişilebilirlik Hizmetlerine ihtiyaç duyuyor. Ayrıca kötü amaçlı yazılım, kurbanın kişi listesine erişme ve önemli bir dağıtım yöntemi olan SMS gönderme yeteneğini koruyor.

Cleafy’nin analizi, kötü amaçlı yazılım yazarlarının kötü amaçlı yazılımın önceki sürümünden 17 komutu kaldırdığını ve beş yeni komut eklediğini gösteriyor:

destroyo: belirli bir uygulamayı kaldır

permdrawover: ‘Üzerinde Çizim’ izni talep edin

setoverlay: siyah bir ekran kaplaması ayarlayın

take_scr: ekran görüntüsü al

update_sec: kullanıcı gizliliğini güncelle

‘setoverlay’ komutu, uzaktan saldırganların arka planda gerçekleşen kötü niyetli ODF faaliyetlerini maskelemek için cihazın kilitli/kapalı görünmesini sağlamak gibi aldatıcı eylemler gerçekleştirmesine olanak tanıdığı için dikkat çekicidir.

Ekran görüntüsü yakalama özelliği de tehdit aktörlerine virüs bulaşmış cihazlardan hassas bilgileri çalmak için yeni bir yol sunan önemli bir eklenti.  Cleafy henüz Google Play’de herhangi bir dropper uygulaması gözlemlememiş olsa da, MaaS’a katılan siber suçluların sayısı arttıkça, dağıtım stratejilerinin çeşitlenmesi ve daha sofistike hale gelmesi kaçınılmaz.

Exit mobile version