Yeni Medusa Android Truva Atı 7 Ülkedeki Bankacılık Kullanıcılarını Hedefliyor
Siber güvenlik araştırmacıları, Kanada, Fransa, İtalya, İspanya, Türkiye, Birleşik Krallık ve ABD'deki kullanıcıları hedeflemek için kullanılan Medusa adlı bir Android bankacılık truva atının güncellenmiş bir sürümünü keşfetti.
Siber güvenlik firması Cleafy, geçen hafta yayınlanan bir analizde, Mayıs 2024'te gözlemlenen ve Temmuz 2023'ten bu yana aktif olan yeni dolandırıcılık kampanyalarının, çeşitli bağlı kuruluşlar tarafından işletilen beş farklı botnet aracılığıyla ortaya çıktığını söyledi.
Güvenlik araştırmacıları Simone Mattia ve Federico Valentini, yeni Medusa örneklerinin "hafif bir izin seti ve tam ekran bir yer paylaşımı görüntüleme ve uygulamaları uzaktan kaldırma yeteneği gibi yeni özellikler" içerdiğini söyledi.
TangleBot olarak da bilinen Medusa, ilk olarak Temmuz 2020'de keşfedilen ve Türkiye'deki finansal varlıkları hedef alan gelişmiş bir Android kötü amaçlı yazılımıdır. SMS mesajlarını okuma, tuş vuruşlarını kaydetme, ekran görüntüleri yakalama, aramaları kaydetme, cihaz ekranını gerçek zamanlı olarak paylaşma ve bankacılık kimlik bilgilerini çalmak için bindirme saldırılarını kullanarak yetkisiz para transferleri gerçekleştirme yetenekleriyle birlikte gelir.
Şubat 2022'de ThreatFabric, kötü amaçlı yazılımı görünüşte zararsız paket teslimi ve yardımcı uygulamalar olarak maskeleyerek FluBot'unkine (diğer adıyla Cabassous) benzer dağıtım mekanizmalarından yararlanan Medusa kampanyalarını ortaya çıkardı. Truva atının arkasındaki tehdit aktörlerinin Türkiye'den olduğundan şüpheleniliyor.
Cleafy'nin en son analizi, yalnızca kötü amaçlı yazılımdaki iyileştirmeleri değil, aynı zamanda Medusa'yı sahte güncellemeler kisvesi altında yaymak için damlalık uygulamalarının kullanımını da ortaya koyuyor. Ayrıca, Telegram ve X gibi meşru hizmetler, veri hırsızlığı için kullanılan komuta ve kontrol (C2) sunucusunu almak için ölü bırakma çözümleyicileri olarak kullanılır.
Dikkate değer bir değişiklik, algılama şansını azaltmak için belirgin bir çabayla aranan izinlerin sayısındaki azalmadır. Bununla birlikte, yine de Android'in erişilebilirlik hizmetleri API'sini gerektirir, bu da gerektiğinde diğer izinleri gizlice etkinleştirmesine ve kullanıcı şüphesi uyandırmaktan kaçınmasına olanak tanır.
![](../uploads/files/ERDEM%20ARENA%20(95).jpg)
Diğer bir değişiklik, cihazın kilitli veya kapalı olduğu izlenimini vermek ve kötü niyetli faaliyetler gerçekleştirmek için bir kapak olarak kullanmak için kurbanın cihazına siyah bir ekran katmanı ayarlama yeteneğidir.
Medusa botnet kümeleri, kötü amaçlı yazılımı yaymak için genellikle kimlik avı gibi denenmiş ve test edilmiş yaklaşımlara güvenir. Bununla birlikte, güvenilmeyen kaynaklardan indirilen damlalık uygulamaları aracılığıyla yayılan yeni dalgalar gözlemlendi ve bu da tehdit aktörlerinin taktiklerini geliştirmeye yönelik devam eden çabalarının altını çizdi.
Araştırmacılar, "Gerekli izinleri en aza indirmek, tespit edilmekten kaçınıyor ve daha iyi huylu görünüyor, bu da uzun süre tespit edilmeden çalışma yeteneğini artırıyor" dedi. "Coğrafi olarak, kötü amaçlı yazılım İtalya ve Fransa gibi yeni bölgelere yayılıyor ve bu da kurban havuzunu çeşitlendirmek ve saldırı yüzeyini genişletmek için kasıtlı bir çaba olduğunu gösteriyor."
Gelişme, Symantec'in Android için hayali Chrome tarayıcı güncellemelerinin Cerberus bankacılık truva atını düşürmek için bir cazibe olarak kullanıldığını ortaya çıkarmasıyla geldi. Sahte Telegram uygulamalarını sahte web siteleri aracılığıyla dağıtan benzer kampanyalar ("telegromlar[.] icu") SpyMax adlı başka bir Android kötü amaçlı yazılımını dağıttığı da gözlemlendi.
Uygulama yüklendikten sonra kullanıcıdan erişilebilirlik hizmetlerini etkinleştirmesini isteyerek tuş vuruşlarını, kesin konumları ve hatta cihazın hareket hızını toplamasına olanak tanır. Toplanan bilgiler daha sonra sıkıştırılır ve kodlanmış bir C2 sunucusuna aktarılır.
K7 Security Labs, "SpyMax, kullanıcının izni olmadan virüslü cihazdan kişisel/özel bilgi toplama yeteneğine sahip bir uzaktan yönetim aracıdır (RAT) ve aynısını uzak bir tehdit aktörüne gönderir" dedi. "Bu, tehdit aktörlerinin kurbanların cihazlarını kontrol etmesini sağlıyor ve bu da kurbanın gizliliğinin ve verilerinin gizliliğini ve bütünlüğünü etkiliyor."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı