İlk olarak 2020’de tanımlanan bir bankacılık truva atı olan Medusa’nın, onu daha tehditkar hale getiren birkaç yeni yükseltmeyle geri döndüğü bildirildi. Kötü amaçlı yazılımın yeni versiyonunun orijinal versiyondan daha fazla bölgeyi hedef aldığı da söyleniyor. Bir siber güvenlik firması truva atının Kanada, Fransa, İtalya, İspanya, Türkiye, İngiltere ve ABD’de aktif olduğunu tespit etti. Medusa öncelikle Google’ın Android işletim sistemine saldırıyor ve akıllı telefon sahiplerini riske atıyor. Herhangi bir bankacılık truva atı gibi, cihazdaki bankacılık uygulamalarının peşine düşer ve hatta cihaz üzerinde dolandırıcılık bile gerçekleştirebilir.
Medusa bankacılık truva atının yeni çeşitleri keşfedildi
Siber güvenlik firması Cleafy raporlar Medusa bankacılık truva atını içeren yeni dolandırıcılık kampanyalarının neredeyse bir yıl boyunca radarın altında kaldıktan sonra Mayıs ayında tespit edildiği belirtildi. Medusa, bir cihaza bulaşabilen ve saldırganlara cihaz üzerinde geniş bir kontrol yelpazesi sağlayan bir Android kötü amaçlı yazılımı olan TangleBot’un bir türüdür. Kişisel bilgileri çalmak ve bireyleri gözetlemek için kullanılabilse de, bir bankacılık truva atı olan Medusa, esas olarak bankacılık uygulamalarına saldırıyor ve kurbanlardan para çalıyor.
Medusa’nın orijinal versiyonu güçlü yeteneklerle donatılmıştı. Örneğin, saldırgana ekran kontrolleri ve SMS okuma ve yazma yeteneği vermesini sağlayan uzaktan erişim trojan (RAT) özelliğine sahipti. Aynı zamanda bir keylogger ile birlikte geldi ve firmaya göre bu kombinasyon, en tehlikeli dolandırıcılık senaryolarından biri olan cihaz içi dolandırıcılığı gerçekleştirmesine olanak sağladı.
Ancak yeni varyantın daha da tehlikeli olduğu söyleniyor. Siber güvenlik firması, eski kötü amaçlı yazılımda bulunan 17 komutun en son Truva Atı’nda kaldırıldığını tespit etti. Bu, paketlenmiş dosyadaki izin gerekliliğini en aza indirgemek ve daha az şüphe uyandırmak için yapıldı. Diğer bir yükseltme ise, saldırıya uğrayan cihazda, truva atı kötü niyetli faaliyetlerini gerçekleştirirken kullanıcının cihazın kilitli veya kapalı olduğunu düşünmesine neden olabilecek siyah bir ekran kaplaması oluşturabilmesidir.
Tehdit aktörlerinin cihazlara virüs bulaştırmak için yeni dağıtım mekanizmaları kullandıkları da bildiriliyor. Daha önce bunlar SMS bağlantıları aracılığıyla yayılıyordu. Ancak artık Medusa’yı güncelleme kisvesi altında yüklemek için dropper uygulamalar (meşru görünen ancak yüklendikten sonra kötü amaçlı yazılım dağıtan uygulamalar) kullanılıyor. Ancak raporda, kötü amaçlı yazılım üreticilerinin Medusa’yı Google Play mağazası aracılığıyla dağıtamadığı vurgulandı.
Uygulama, yüklendikten sonra kullanıcıdan sensör verilerini ve tuş vuruşlarını toplamak için erişilebilirlik hizmetlerini etkinleştirmesini isteyen mesajları yanıp söner. Veriler daha sonra sıkıştırılır ve kodlanmış bir C2 sunucusuna aktarılır. Yeterli bilgi toplandıktan sonra tehdit aktörü, uzaktan erişimi kullanarak cihazın kontrolünü ele geçirebilir ve mali dolandırıcılık gerçekleştirebilir.
Android kullanıcılarının SMS, mesajlaşma uygulamaları veya sosyal medya platformları aracılığıyla bilinmeyen gönderenler tarafından paylaşılan URL’lere tıklamamaları önerilir. Ayrıca, güvenilmeyen kaynaklardan uygulama indirirken de dikkatli olmaları veya uygulamaları indirip güncellemek için Google Play mağazasına bağlı kalmaları gerekir.