يقال إن Medusa، وهو حصان طروادة المصرفي الذي تم التعرف عليه لأول مرة في عام 2020، قد عاد بعدة ترقيات جديدة تجعله أكثر تهديدًا. ويقال أيضًا أن الإصدار الجديد من البرامج الضارة يستهدف مناطق أكثر من الإصدار الأصلي. اكتشفت إحدى شركات الأمن السيبراني فيروس طروادة النشط في كندا وفرنسا وإيطاليا وإسبانيا وتركيا والمملكة المتحدة والولايات المتحدة. تهاجم ميدوسا في المقام الأول نظام التشغيل أندرويد من جوجل، مما يعرض أصحاب الهواتف الذكية للخطر. مثل أي حصان طروادة مصرفي، فإنه يلاحق التطبيقات المصرفية الموجودة على الجهاز ويمكنه أيضًا إجراء عمليات احتيال على الجهاز.
اكتشاف متغيرات جديدة من طروادة Medusa المصرفية
أفادت شركة Cleafy للأمن السيبراني أنه تم اكتشاف حملات احتيال جديدة تتضمن فيروس طروادة Medusa المصرفي في شهر مايو بعد أن ظلت تحت الرادار لمدة عام تقريبًا. Medusa هو نوع من TangleBot — وهو برنامج ضار يعمل بنظام Android ويمكنه إصابة الجهاز ومنح المهاجمين نطاقًا واسعًا من التحكم فيه. على الرغم من أنه يمكن استخدامها لسرقة المعلومات الشخصية والتجسس على الأفراد، إلا أن Medusa، كونها حصان طروادة المصرفي، تهاجم بشكل أساسي التطبيقات المصرفية وتسرق الأموال من الضحايا.
تم تجهيز النسخة الأصلية من Medusa بقدرات قوية. على سبيل المثال، كان لديه إمكانية الوصول عن بعد إلى طروادة (RAT) التي سمحت له بمنح المهاجم عناصر التحكم في الشاشة والقدرة على قراءة وكتابة الرسائل القصيرة. كما أنه يأتي مزودًا ببرنامج Keylogger، وقد سمح له هذا المزيج بتنفيذ أحد أخطر سيناريوهات الاحتيال، وهو الاحتيال على الجهاز، وفقًا للشركة.
ومع ذلك، يقال إن البديل الجديد أكثر خطورة. وجدت شركة الأمن السيبراني أنه تمت إزالة 17 أمرًا كان موجودًا في البرامج الضارة القديمة في أحدث حصان طروادة. وقد تم ذلك لتقليل متطلبات الأذونات في الملف المجمع، مما يثير قدرًا أقل من الشكوك. ترقية أخرى هي أنه يمكن تعيين تراكب شاشة سوداء على الجهاز الذي تمت مهاجمته، مما قد يجعل المستخدم يعتقد أن الجهاز مقفل أو متوقف عن التشغيل، بينما يقوم حصان طروادة بتنفيذ أنشطته الضارة.
وبحسب ما ورد تستخدم الجهات الفاعلة في مجال التهديد آليات توصيل جديدة لإصابة الأجهزة. وفي وقت سابق، تم نشر هذه الرسائل عبر روابط الرسائل القصيرة. ولكن الآن، يتم استخدام تطبيقات القطارة (التطبيقات التي تبدو مشروعة ولكنها تنشر البرامج الضارة بمجرد تثبيتها) لتثبيت Medusa تحت ستار التحديث. ومع ذلك، أبرز التقرير أن صانعي البرامج الضارة لم يتمكنوا من نشر Medusa عبر متجر Google Play.
بعد التثبيت، يرسل التطبيق رسائل تطالب المستخدم بتمكين خدمات إمكانية الوصول لجمع بيانات المستشعر وضغطات المفاتيح. يتم بعد ذلك ضغط البيانات وتصديرها إلى خادم C2 مشفر. بمجرد جمع معلومات كافية، يمكن لممثل التهديد استخدام الوصول عن بعد للسيطرة على الجهاز وارتكاب عمليات احتيال مالي.
يُنصح مستخدمو Android بعدم النقر على عناوين URL التي تتم مشاركتها عبر الرسائل القصيرة أو تطبيقات المراسلة أو منصات الوسائط الاجتماعية بواسطة مرسلين غير معروفين. ويجب عليهم أيضًا توخي الحذر أثناء تنزيل التطبيقات من مصادر غير موثوقة، أو ببساطة الالتزام بمتجر Google Play لتنزيل التطبيقات وتحديثها.
