uzman
Active member
- Katılım
- 25 Eyl 2020
- Mesajlar
- 52,598
- Puanları
- 36
İlk olarak 2020'de keşfedilen bir bankacılık Truva atı olan Medusa'nın, onu daha da tehditkar hale getiren birkaç yeni yükseltmeyle geri döndüğü bildirildi. Kötü amaçlı yazılımın yeni versiyonunun orijinal versiyondan daha fazla bölgeyi hedef aldığı da söyleniyor. Bir siber güvenlik şirketi Truva Atı'nı Kanada, Fransa, İtalya, İspanya, Türkiye, Birleşik Krallık ve ABD'de keşfetti. Medusa öncelikle Google'ın Android işletim sistemine saldırarak akıllı telefon sahiplerini tehlikeye atıyor. Tüm bankacılık Truva Atları gibi, cihazdaki bankacılık uygulamalarına saldırır ve hatta cihazda dolandırıcılık bile gerçekleştirebilir.
Medusa bankacılık Truva Atı'nın yeni çeşitleri keşfedildi
Siber güvenlik firması Cleafy, Medusa bankacılık Truva Atı'nı içeren yeni dolandırıcılık kampanyalarının neredeyse bir yıl boyunca radar altında kaldıktan sonra Mayıs ayında keşfedildiğini bildirdi. Medusa, bir cihaza bulaşabilen ve saldırganlara cihaz üzerinde kapsamlı kontrol sağlayan bir Android kötü amaçlı yazılım olan TangleBot'un bir türüdür. Kişisel bilgileri çalmak ve insanlar hakkında casusluk yapmak için kullanılabilse de Medusa, bir bankacılık Truva Atı olarak öncelikle bankacılık uygulamalarına saldırıyor ve kurbanlardan para çalıyor.
Medusa'nın orijinal versiyonu güçlü özelliklerle doluydu. Örneğin, saldırgana ekran kontrolleri ve SMS okuma ve yazma yeteneği veren Uzaktan Erişim Truva Atı (RAT) özelliği vardı. Aynı zamanda bir keylogger ile donatılmıştı ve şirkete göre bu kombinasyon, en tehlikeli dolandırıcılık senaryolarından biri olan cihaz içi dolandırıcılığın gerçekleştirilmesini mümkün kıldı.
Ancak yeni varyantın daha da tehlikeli olduğu söyleniyor. Siber güvenlik şirketi, eski kötü amaçlı yazılımda bulunan 17 komutun en son Truva Atı'nda kaldırıldığını belirtti. Bu, paketlenmiş dosyadaki izin gereksinimlerini en aza indirmek ve daha az şüphe uyandırmak için yapıldı. Diğer bir yükseltme ise, saldırıya uğrayan cihaz üzerinde siyah bir ekran kaplaması oluşturabilmesidir; bu, kullanıcıyı Truva Atı kötü amaçlı faaliyetlerini sürdürürken cihazın kilitli veya kapalı olduğunu düşünmesi için kandırabilir.
Tehdit aktörlerinin cihazlara virüs bulaştırmak için yeni dağıtım mekanizmaları kullandıkları da bildiriliyor. Bunlar eskiden SMS bağlantıları aracılığıyla dağıtılıyordu. Ancak artık Medusa'yı güncelleme kisvesi altında yüklemek için indirici uygulamalar (meşru görünen ancak yüklendikten sonra kötü amaçlı yazılım yayan uygulamalar) kullanılıyor. Ancak raporda, kötü amaçlı yazılım üreticilerinin Medusa'yı Google Play Store üzerinden dağıtamadığı vurgulandı.
Uygulama yüklendikten sonra kullanıcıdan sensör verilerini ve tuş vuruşlarını toplamak için erişilebilirlik hizmetlerini etkinleştirmesini isteyen mesajlar görüntüler. Veriler daha sonra sıkıştırılır ve şifrelenmiş bir C2 sunucusuna aktarılır. Yeterli bilgi toplandıktan sonra tehdit aktörü, cihazın kontrolünü uzaktan ele geçirebilir ve mali dolandırıcılık gerçekleştirebilir.
Android kullanıcılarının, bilinmeyen gönderenler tarafından SMS, mesajlaşma uygulamaları veya sosyal medya platformları aracılığıyla paylaşılan URL'lere tıklamamaları tavsiye edilir. Ayrıca güvenilmez kaynaklardan uygulama indirirken dikkatli olmalı veya uygulamaları indirip güncellerken Google Play Store'a bağlı kalmalısınız.
Medusa bankacılık Truva Atı'nın yeni çeşitleri keşfedildi
Siber güvenlik firması Cleafy, Medusa bankacılık Truva Atı'nı içeren yeni dolandırıcılık kampanyalarının neredeyse bir yıl boyunca radar altında kaldıktan sonra Mayıs ayında keşfedildiğini bildirdi. Medusa, bir cihaza bulaşabilen ve saldırganlara cihaz üzerinde kapsamlı kontrol sağlayan bir Android kötü amaçlı yazılım olan TangleBot'un bir türüdür. Kişisel bilgileri çalmak ve insanlar hakkında casusluk yapmak için kullanılabilse de Medusa, bir bankacılık Truva Atı olarak öncelikle bankacılık uygulamalarına saldırıyor ve kurbanlardan para çalıyor.
Medusa'nın orijinal versiyonu güçlü özelliklerle doluydu. Örneğin, saldırgana ekran kontrolleri ve SMS okuma ve yazma yeteneği veren Uzaktan Erişim Truva Atı (RAT) özelliği vardı. Aynı zamanda bir keylogger ile donatılmıştı ve şirkete göre bu kombinasyon, en tehlikeli dolandırıcılık senaryolarından biri olan cihaz içi dolandırıcılığın gerçekleştirilmesini mümkün kıldı.
Ancak yeni varyantın daha da tehlikeli olduğu söyleniyor. Siber güvenlik şirketi, eski kötü amaçlı yazılımda bulunan 17 komutun en son Truva Atı'nda kaldırıldığını belirtti. Bu, paketlenmiş dosyadaki izin gereksinimlerini en aza indirmek ve daha az şüphe uyandırmak için yapıldı. Diğer bir yükseltme ise, saldırıya uğrayan cihaz üzerinde siyah bir ekran kaplaması oluşturabilmesidir; bu, kullanıcıyı Truva Atı kötü amaçlı faaliyetlerini sürdürürken cihazın kilitli veya kapalı olduğunu düşünmesi için kandırabilir.
Tehdit aktörlerinin cihazlara virüs bulaştırmak için yeni dağıtım mekanizmaları kullandıkları da bildiriliyor. Bunlar eskiden SMS bağlantıları aracılığıyla dağıtılıyordu. Ancak artık Medusa'yı güncelleme kisvesi altında yüklemek için indirici uygulamalar (meşru görünen ancak yüklendikten sonra kötü amaçlı yazılım yayan uygulamalar) kullanılıyor. Ancak raporda, kötü amaçlı yazılım üreticilerinin Medusa'yı Google Play Store üzerinden dağıtamadığı vurgulandı.
Uygulama yüklendikten sonra kullanıcıdan sensör verilerini ve tuş vuruşlarını toplamak için erişilebilirlik hizmetlerini etkinleştirmesini isteyen mesajlar görüntüler. Veriler daha sonra sıkıştırılır ve şifrelenmiş bir C2 sunucusuna aktarılır. Yeterli bilgi toplandıktan sonra tehdit aktörü, cihazın kontrolünü uzaktan ele geçirebilir ve mali dolandırıcılık gerçekleştirebilir.
Android kullanıcılarının, bilinmeyen gönderenler tarafından SMS, mesajlaşma uygulamaları veya sosyal medya platformları aracılığıyla paylaşılan URL'lere tıklamamaları tavsiye edilir. Ayrıca güvenilmez kaynaklardan uygulama indirirken dikkatli olmalı veya uygulamaları indirip güncellerken Google Play Store'a bağlı kalmalısınız.