曾针对七国安卓用户发起攻击，Medusa银行木马变种“卷土重来”

近日 ，卷土重来Cleafy 公司的曾针威胁情报团队发现 ，专门针对安卓系统的对国Medusa银行木马软件再次“卷土重来” 。该软件此前曾对法国 、安卓意大利
、用户银行美国 、发起加拿大、攻击西班牙、木马英国和土耳其发起过攻击活动，变种沉寂了一年后
，卷土重来如今又出现了新的曾针 Medusa 恶意软件变种 。

Medusa 银行木马也被称为 TangleBot，对国是安卓 2020 年发现的建站模板一种安卓恶意软件即服务（MaaS）操作。该恶意软件提供键盘记录、用户银行屏幕控制和短信操作功能 。发起

虽然名称相同 ，但该行动不同于勒索软件团伙和基于 Mirai 的分布式拒绝服务（DDoS）攻击僵尸网络。

研究人员表示，这些恶意软件变种更轻巧，在设备上需要的权限更少 ，而且包括全屏覆盖和截图捕获。

最新活动

Cleafy 的研究人员表示，2023年7月就曾在依靠短信钓鱼（"smishing"）的活动中发现了Medusa 变种，它们通过滴注应用程序侧载恶意软件 。高防服务器当时共发现了 24 个使用该恶意软件的活动
，研究人员将其归因于五个独立的僵尸网络（UNKN、AFETZEDE 、ANAKONDA、PEMBE 和 TONY），这些僵尸网络负责发送恶意应用程序 。

UNKN 僵尸网络由一群不同的威胁行为者运营，主要针对欧洲国家，特别是法国、意大利、西班牙和英国
。

Medusa 僵尸网络和集群概述 ，源码下载资料来源 
： Cleafy

在这些攻击中使用的钓鱼应用程序包括一个虚假的 Chrome 浏览器  、一个 5G 连接应用程序和一个名为 4K Sports 的假冒流媒体应用程序。

鉴于 2024 年欧洲杯正在进行中 ，选择 4K 体育流媒体应用程序作为诱饵似乎恰逢其时。

Cleafy 评论说，所有活动和僵尸网络都由 Medusa 的中央基础设施处理，该基础设施从公共社交媒体配置文件中动态获取指挥和控制（C2）服务器的 URL。

从秘密渠道检索 C2 地址
，图片来源
：Cleafy

新的 Medusa 变种

Medusa恶意软件的创建者减少了其在被攻击设备上的云计算足迹
，现在只要求一小部分权限 。不过仍需要安卓的可访问性服务 。

此外，该恶意软件还保留了访问受害者联系人列表和发送短信的功能 。

所申请权限的比较 ，资料来源 ： Cleafy

Cleafy 的分析显示，恶意软件作者删除了前一版本恶意软件中的 17 条命令，并添加了 5 条新命令 ：

destroyo ：卸载特定应用程序permdrawover：请求 "Drawing Over "权限setoverlay：设置黑屏覆盖take_scr ：截图update_sec：更新用户秘密

值得注意的是，香港云服务器"setoverlay "命令允许远程攻击者执行欺骗性操作 ，例如使设备显示锁定/关闭 ，以掩盖后台发生的恶意 ODF 活动。

实际黑屏覆盖 ，图片来源：Cleafy

捕获屏幕截图的新功能也是此次新增的一个重要功能，它为威胁者提供了一种从受感染设备中窃取敏感信息的新方法 。

总体而言，Medusa 移动银行木马的行动相比之前扩大了目标范围 ，并且行动更加隐蔽难以发现，为后续发起更大规模的模板下载攻击行动“奠定”了基础
。

虽然 Cleafy 目前还未在 Google Play 上发现任何此类程序 ，但随着加入 MaaS 的网络犯罪分子数量不断增加，其传播策略也将变得更加复杂
。