One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8530282 |
| Date de publication | 2024-07-04 01:16:40 (vue: 2024-07-04 02:07:27) |
| Titre | New Medusa malware variants target Android users in seven countries |
| Texte | #### Géolocations ciblées - Espagne - France - Italie - Canada - États-Unis - Royaume-Uni - t & uuml; rkiye ## Instantané L'équipe de renseignement sur les menaces de Cleafy a identifié la résurgence de la Méduse Banking Trojan pour Android, ciblant des pays, notamment la France, l'Italie, les États-Unis, le Canada, l'Espagne, le Royaume-Uni et la Turquie. ## Description La nouvelle campagne, observée depuis mai 2024, présente des variantes compactes nécessitant moins d'autorisations et l'introduction de nouvelles capacités pour lancer des transactions directement à partir d'appareils compromis.Ces variantes ont été distribuées à travers 24 campagnes en utilisant le phishing SMS pour charger les logiciels malveillants via des applications compte-gouttes, attribuées à cinq botnets distincts.Notamment, l'infrastructure centrale du malware \\ récupère dynamiquement les URL du serveur de commande et de contrôle (C2) à partir de profils publics de médias sociaux. Le malware de Medusa, découvert pour la première fois en 2020, est connu pour ses capacités de rat, notamment le keylogging, les contrôles d'écran et la manipulation du SMS, permettant une fraude à dispositive sophistiquée (ODF).Dans les campagnes récentes, l'équipe de Cleafy \\ a identifié un changement dans la stratégie de distribution du malware \\, avec des acteurs de menace expérimentant des "dropsiers" pour diffuser le malware via de fausses procédures de mise à jour.L'évolution du malware \\ comprend un ensemble d'autorisation réduit et rationalisé, améliorant sa furtivité et son efficacité tout en ciblant de nouvelles régions géographiques.La dernière variante Medusa réduit son empreinte sur les appareils compromis, conserve les services d'accessibilité d'Android et ajoute de nouvelles commandes, y compris la possibilité de capturer des captures d'écran et d'effectuer des actions trompeuses avec une superposition d'écran noir. Dans les dernières campagnes, cinq botnets distincts ont été identifiés, chacun avec des caractéristiques uniques et des cibles géographiques.Le malware utilise des techniques avancées telles que l'utilisation de VNC pour un contrôle en temps réel, la récupération dynamique des URL du serveur C2 à partir des médias sociaux et l'utilisation des canaux de communication de sauvegarde pour une résilience accrue.L'analyse de Cleafy \\ a également noté des changements significatifs dans la structure de commande de la variante MEDUSA, avec l'introduction de nouvelles commandes telles que la définition de superpositions d'écran noir et les applications désinstallées à distance, améliorant encore ses capacités malveillantes.Bien qu'il ne soit pas encore observé sur Google Play, le nombre croissant de cybercriminels impliqués dans l'opération de logiciels malveillants en tant que service (MAAS) suggère que les stratégies de distribution sont susceptibles de se diversifier et de devenir plus sophistiquées. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de la menace comme le MA suivantlware: - [Ransom: win32 / medusa.pa] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name = rançon: win32 / medusa.pa! Mtb & menaceID = -2147079865) ### Microsoft Defender pour le point de terminaison Les alertes suivantes peuvent indiquer l'activité associée à cette menace.Ces alertes, cependant, peuvent être déclenchées par une activité de menace sans rapport et ne sont pas surveillées dans les cartes d'état fournies avec ce rapport. - Un ransomware actif \\ 'medusa \' a été détecté ## Recommandations Microsoft recommande que les développeurs et les analystes de sécurité se familiarisent avec les [excellentes directives de sécurité des applications Android] (https://developer.android.com/privacy-and-security/risks) fourn |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | ### #### 2020 2024 2147079865 ability accessed accessibility actions active activity actors additional adds advanced alerts also also although analysis analysts android antivirus application applications are associated attributed avoid backup banking become black bleeping bleepingcomputer botnets campaign campaigns can canada capabilities capture cards central changes channels characteristics checks cleafy codeql com/cleafy com/codeql com/en com/google/android com/news/security/new com/privacy com/studio/write/lint#gradle com/studio/write/lint#gradleincluded command commands communication compact components compromised computer control controls countries countries/ cybercriminals deceptive defender description detected detections/hunting detects developers device devices directly discovered distinct distributed distribution diversify dropper droppers dynamic dynamically each effectiveness employing employs enabling encyclopedia endpoint enhancing evolution excellent experimenting fake familiarize features fetches fewer first five focused following footprint france fraud fresh from further geographical geolocations github google guidance has help/java/ however https://codeql https://developer https://github https://www identified identify includes including increased increasing indicate infrastructure initiate integrated intelligence introducing introduction involved italy its keylogging kingdom known labs labs/medusa latest like likely lint lints/ load maas make malicious malware malware: manipulation may media medusa microsoft microsoft recommends monitored more mtb&threatid= name=ransom:win32/medusa new not notably noted number observed odf operation overlay overlays perform permission permissions phishing play potential procedures profiles provided provides public queries query ransom:win32/medusa ransomware rat real reborn reborn: recent recommendations reduced reduces references regions remotely report requiring resilience resurgence retains retrieval screen screenshots sdk security security/risks separate server service services set setting seven shift side significant since sms snapshot social sophisticated spain spread states status stealth strategies strategy streamlined structure studio such suggests supplemented target targeted targeting targets team techniques themselves these the threat through time tool transactions triggered trojan turkey türkiye uninstalling unique united unitedkingdom unrelated update urls us/wdsi/threats/malware use users using variant variants vnc vulnerabilities well yet provided to with |
| Tags | Ransomware Malware Vulnerability Threat Mobile |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.