Trong một phân tích được công bố vào tuần trước liên quan đến các chiến dịch lừa đảo mới, được quan sát từ tháng 7/2023 đến tháng 5/2024, được biểu hiện thông qua 5 mạng botnet khác nhau, công ty an ninh mạng Cleafy cho biết mã độc (trojan) ngân hàng Medusa đã quay trở lại với các biến thể nhỏ gọn hơn, chiếm ít quyền hơn nhưng lại nguy hiểm hơn trước rất nhiều.
Trojan Medusa (tên gọi khác là TangleBot) là một phần mềm độc hại dưới dạng dịch vụ (MaaS) trên Android được phát hiện lần đầu vào năm 2020 khi nó nhắm vào các tổ chức tài chính ở Thổ Nhĩ Kỳ. Loại trojan này sẽ theo dõi nhật ký thao tác bàn phím, điều khiển màn hình và tin nhắn SMS, ghi âm cuộc gọi, chia sẻ màn hình thiết bị trong thời gian thực, cuối cùng thực hiện chuyển tiền trái phép bằng cách sử dụng các cuộc tấn công lớp phủ để đánh cắp thông tin xác thực ngân hàng ( lớp phủ là tính năng giúp sắp xếp các ứng dụng trên màn hình thiết bị một các dễ dàng, gọn gàng hơn).
Vào tháng 2/2022, công ty bảo mật ThreatFabic đã phát hiện ra chiến dịch Medusa giả mạo các phần mềm tiện ích dường như vô hại để xâm nhập vào các thiết bị người dùng. Loại trojan này sau đó đã bị phát hiện và đẩy lùi.
Sau một năm ẩn náu, Medusa đã tái xuất trở lại với những cải tiến mới giúp nó dễ dàng ẩn náu trong các chiêu bài cập nhật giả mạo các ứng dụng thông thường. Theo Cleafy, những người viết Medusa đã xóa 17 lệnh khỏi phiên bản phần mềm độc hại trước đó và thêm 5 lệnh mới vào. Các ứng dụng được sử dụng để thả phần mềm độc hại vào điện thoại Android bao gồm trình duyệt Chrome giả mạo, ứng dụng kết nối 5G và ứng dụng phát trực tuyến có tên 4K Sports.
Một thay đổi đáng chú ý là biến thể mới của Medusa yêu cầu cấp quyền ít hơn, điều này giúp nó tránh bị phát hiện và trông có vẻ lành tính hơn, nâng cao khả năng hoạt động mà không bị phát hiện trong thời gian dài. Biến thể mới cũng có khả năng thiết lập một lớp phủ màn hình đen trên thiết bị của nạn nhân để tạo ấn tượng rằng thiết bị đã bị khóa hoặc tắt nguồn, sử dụng nó làm vỏ bọc để thực hiện các hoạt động trái phép. Medusa thường dựa vào các mạng botnet để phát tán phần mềm độc hại.
Theo các nhà nghiên cứu, Medusa đang mở rộng hoạt động sang các khu vực mới bao gồm Ý và Pháp. Điều này cho thấy chủ ý của các hacker trong việc đa dạng hóa nhóm nạn nhân và phạm vi tấn công của trojan này. Mặc dù đều là trojan, hoạt động của Medusa khác với các nhóm ransomeware và botnet dành cho các cuộc tấn công từ chối dịch vụ phân tán (DDos).
Các nhà nghiên cứu cho biết thêm, các biến thể Medusa bắt đầu phát triển từ tháng 7/2023 đã được phát hiện trong các chiến dịch lừa đảo qua SMS để tải phần mềm độc hại từ các nguồn không rõ ràng bên ngoài. May mắn, không có ứng dụng "cầu nối" nào được phát hiện trong Google Store.
Theo Cleafy, điều đáng lo ngại hơn là ngày càng có nhiều tội phạm mạng tham gia hoạt động phần mềm độc hại dưới dạng dịch vụ (MaaS) trên Android này, cho phép phát hiện và tạo ra các cách mới hơn và khó phát hiện hơn để phân phối phần mềm độc hại.
