Medusa モバイル マルウェア

バンキング型トロイの木馬「メデューサ」は、フランス、イタリア、米国、カナダ、スペイン、英国、トルコなどの国を標的として、ほぼ 1 年にわたって目立たない状態が続いた後、再び姿を現しました。5 月から監視されているこの新たな活動には、必要な権限が少なくなり、侵入したデバイスから直接取引を開始することを目的とした新しい機能が導入された、簡素化された亜種が含まれています。

TangleBot とも呼ばれるMedusaバンキング型トロイの木馬は、2020 年に発見された Android 向けマルウェア・アズ・ア・サービス (MaaS) です。このマルウェアは、キーロギング、画面操作、SMS 制御などの機能を提供します。同じ名前を共有しているにもかかわらず、この動作は、分散型サービス拒否 (DDoS) 攻撃で知られるランサムウェア グループやMiraiベースのボットネットとは異なります。

Medusa モバイルマルウェアを展開する脅迫キャンペーン

最新の Medusa 亜種が初めて目撃されたのは 2023 年 7 月で、研究者らは SMS フィッシング (「スミッシング」) を利用してドロッパー アプリケーションを通じてマルウェアを配布するキャンペーンでこの亜種を観察しました。これらの亜種を採用したキャンペーンは合計 24 件特定されており、それぞれが有害なアプリケーションの配信に関与する 5 つの異なるボットネット (UNKN、AFETZEDE、ANAKONDA、PEMBE、TONY) にリンクされています。

UNKN ボットネットは、ヨーロッパ諸国、特にフランス、イタリア、スペイン、英国を標的とする特定の脅威アクターのグループによって運営されています。これらの攻撃で最近使用されたドロッパー アプリケーションには、次のものがあります。

• 偽造 Chrome ブラウザ。
• 5G 接続アプリケーションとされるもの。
• 4K Sports という偽のストリーミング アプリケーション。

4K Sports アプリケーションを餌として選択したのは、現在開催中の UEFA EURO 2024 選手権と時期が重なっており、タイムリーな餌となっています。

専門家は、これらすべてのキャンペーンとボットネットは Medusa の中央インフラストラクチャを通じて管理されており、このインフラストラクチャは公開されているソーシャル メディア プロファイルからコマンド アンド コントロール (C2) サーバーの URL を動的に取得していると指摘しています。

Medusa マルウェア バージョンの新しい変更

Medusa マルウェアの作成者は、必要な権限の数を減らすことで、感染したデバイスへの影響を最小限に抑えることを選択しましたが、それでも Android のアクセシビリティ サービスが必要です。この削減にもかかわらず、マルウェアは被害者の連絡先リストにアクセスして SMS メッセージを送信する機能を維持しており、これがマルウェアの配布に不可欠な手段となっています。

分析により、マルウェア作成者は以前のバージョンから 17 個のコマンドを削除し、5 個の新しいコマンドを導入したことが明らかになりました。

• Destroyo: 特定のアプリケーションをアンインストールする
• Permdrawover: 「Drawing Over」権限をリクエスト
• Setoverlay: 黒い画面オーバーレイを適用する
• Take_scr: スクリーンショットをキャプチャする
• Update_sec: ユーザーシークレットの更新

特に懸念されるのは「setoverlay」コマンドです。このコマンドにより、リモートの攻撃者は、ロックされた画面や電源がオフになっている画面を表示するなどの欺瞞的な操作を実行して、バックグラウンドで行われている不正な資金移動などの脅威となるアクティビティを隠すことができます。

スクリーンショットをキャプチャする新しく追加された機能は大幅な機能強化であり、脅威の攻撃者に侵害されたデバイスから機密情報を抽出するための新しい方法を提供します。

メデューサのオペレーターは焦点を拡大している

Medusa モバイル バンキング トロイの木馬の活動は、その焦点を広げ、よりステルス性の高い戦術を採用しているようで、より大規模な展開と被害者数の増加への道を開いています。研究者はまだ Google Play 上のドロッパー アプリを特定していませんが、MaaS (Malware-as-a-Service) へのサイバー犯罪者の参加が増えていることから、配布戦略はより多様で高度になる可能性が高いと考えられます。