Bankový trojan Medusa je znova aktívny. Útočí na aplikácie známych bánk. Takto sa ti môže dostať do smartfónu!
Jeden z najnebezpečnejších bankových trójskych koňov, Medusa, sa opäť objavil a tentokrát je oveľa nebezpečnejší, než v minulosti.
Okolo mája tohto roku bezpečnostní experti z Cleafy pozorovali častejšie inštalácie aplikácie 4K Sports. Hlbšia analýza ukázala, že aplikácia má niekoľko špecifických charakteristík malvéru.
Analytici zároveň našli spojenie so známym malvérom Medusa, no správanie aplikácie sa úplne nezhodovalo s tým, ako sa správali známe varianty tohto malvéru. Znamenalo to však to, že sa malvér vyvinul a nová verzia Medusy vykazovala výrazné zmeny v tom, čo dokáže a aká je jej štruktúra.
Medúza sa opäť vynára
Bezpečnostní experti počas niekoľkých mesiacov zbierali a analyzovali vzorky tohto nového malvéru. Tu sa ukázalo, že cieľom kyberzločincov je zvýšenie efektivity malvéru a popri tom aj posilnenie botnetu refaktoringom povolení, ktoré sa vyžadujú počas inštalačnej fázy. Medusa funguje na modeli “malvér-ako-služba”, čo znamená, že ho skúsenejší hackeri vyvíjajú a ďalej zveľaďujú, potom ho prenajímajú ďalším zločincom, ktorý vykonávajú reálne útoky.
Výskumníci zatiaľ nevedia povedať, prečo sa autori malvéru rozhodli Medusu vylepšiť, no v hre môže byť viacero faktorov. Vývojári malvéru mohli získať nových partnerov, čo u nich vyvolalo motiváciu vytvoriť škodlivý softvér, ktorý by sa dal odhaliť ešte o niečo ťažšie. Novú vylepšenú verziu následne spustili v krajinách, kde útoky Medusy ešte neprebiehali.
Ako sme spomenuli na začiatku, Medusa nie je vo svete kyberzločinu úplnou novinkou. Ide o bankového trójskeho koňa, ktorý sa v online priestore objavil ešte okolo roku 2020 a rýchlo sa stal významnou medzinárodnou hrozbou. Hoci spočiatku cielil malvér na turecké finančné inštitúcie, od roku 2022 kyberzločinci výrazne zväčšili svoje pôsobenie. Od tohto roku útočili aj v Severnej Amerike a Európe.
Neprehliadni
Medusa je bankový trojan typu RAT (Remote Access Trojan). Znamená to, že preberá kompletnú kontrolu nad infikovanými zariadeniami a dovoľuje kyberzločincom ovládať zariadenia na diaľku. Presnejšie Medusa umožňuje útočníkom kontrolu pomocou zneužitia VNC, služby pre zdieľanie obrazovky v reálnom čase. Popri tom zneužíva aj nastavenia dostupnosti.
Malvér sa šíri primárne cez sideloading
Medusa útočí na zariadeniach metódou ODF (On-Device Fraud). Táto metóda patrí medzi najnebezpečnejšie, pretože dovoľuje útočníkom prenášať peniaze z účtu obetí manuálne alebo automaticky.
Bezpečnostní experti upozorňujú, že Medusa zvládne automatizovať niekoľko nebezpečných funkcionalít, ktoré sa spájajú s modernými bankovými trojanmi, napríklad nepretržitý keylogging (čítanie stlačení klávesnice) alebo overlay útoky.
Posledná kampaň malvéru Medusa začala v júli 2023 a aktívnou je dodnes, pričom napáda Android zariadenia. Malvér sa šíri prostredníctvom falošných aplikácií mimo Obchodu play. Najlepšie sa teda pred útokmi ochrániš tak, že budeš obzvlášť opatrný pri sideloadingu, teda inštalácií aplikácií mimo oficiálnych obchodov.
Bezpečnostní experti ale nevylučujú, že v budúcnosti môžu kyberzločinci nájsť spôsob, ako sa dostať aj do Obchodu play. Medzi pozorovanými falošnými aplikáciami bezpečnostní analytici objavili napríklad falošnú verziu YouTube Premium, Avast Premium, prehliadača Chrome a ďalších. Momentálne sa šíri aj aplikácia 4K Sports.
Komentáre