Wanneer een populaire Android banking trojan verdwijnt, is dat meestal goed nieuws – maar niet in dit geval.
Volgens BleepingComputer is de Medusa banking trojan na bijna een jaar van stilte teruggekeerd in verschillende campagnes gericht op gebruikers van de beste Android-telefoons in de VS, het VK, Canada, Frankrijk, Italië, Spanje en Turkije.
Hoewel Medusa al gevaarlijk was, vereisen deze nieuwe varianten minder machtigingen en bevatten ze nieuwe functies die het voor de malware gemakkelijker maken om direct op een gecompromitteerde smartphone fraude te plegen.
Hier is alles wat u moet weten over deze nieuwe Medusa-varianten, samen met hoe u uzelf en uw Android-apparaten kunt beschermen tegen banking trojans.
Botnets gebruiken om kwaadaardige apps te leveren
(Afbeelding: Shutterstock)
Volgens een nieuw rapport van het online fraudebeheerbedrijf Cleafy werden deze nieuwe Medusa-varianten voor het eerst gespot in juli vorig jaar in verschillende campagnes die SMS-phishing of smishing gebruikten om de malware via dropper-apps te laden.
In totaal hebben de onderzoekers 24 afzonderlijke campagnes geïdentificeerd, waarvan er vijf aan botnets werden toegeschreven die werden gebruikt om kwaadaardige apps naar nietsvermoedende gebruikers te sturen. Enkele van de dropper-apps die in deze campagnes werden gebruikt, zijn onder andere een nep Chrome-browser, een 5G-connectiviteitsapp en een nep streaming-app genaamd 4K Sports.
Omdat Medusa een malware-as-a-service aanbiedt waarbij hackers een abonnementsgeld betalen om de banking trojan in te zetten, worden al deze campagnes en botnets beheerd door de centrale infrastructuur, die links ophaalt voor zijn command and control (C2) server.
(Afbeelding: Shutterstock)
Om het installeren van hun banking trojan gemakkelijker te maken, hebben de makers van Medusa het nog kleiner gemaakt en het verzoekt nu minder machtigingen na installatie. Het blijft echter afhankelijk van de Toegankelijkheidsdiensten van Android om te functioneren.
Terwijl 17 commando’s werden verwijderd uit de vorige versie van deze banking trojan, behoudt het zijn vermogen om toegang te krijgen tot de contacten van een slachtoffer en tekstberichten te sturen om zich nog verder te verspreiden. Er zijn echter enkele nieuwe commando’s, waarmee deze Medusa-varianten de mogelijkheid hebben om apps te deïnstalleren, boven apps te tekenen, een zwart schermoverlay in te stellen en schermafbeeldingen te maken.
Van deze is vooral de schermoverlay gevaarlijk omdat een externe aanvaller deze kan gebruiken om een geïnfecteerde smartphone te laten lijken alsof deze is uitgeschakeld terwijl er kwaadaardige activiteiten op de achtergrond worden uitgevoerd. Op dezelfde manier biedt de mogelijkheid van Medusa om schermafbeeldingen te maken hackers een gemakkelijke manier om gevoelige informatie zoals wachtwoorden van een geïnfecteerd apparaat te stelen.
We zullen dit verbeterde banking trojan nauwlettend in de gaten houden, aangezien de kleinere omvang betekent dat de hackers die het gebruiken de reikwijdte van hun aanvallen kunnen uitbreiden en zich kunnen richten op nog meer Android-gebruikers.
Hoe u veilig kunt blijven tegen Android malware
(Afbeelding: Google)
Aangezien de Medusa banking trojan vaak wordt verspreid via dropper-apps, moet u extra voorzichtig zijn bij het installeren van nieuwe apps op uw smartphone.
Hoewel het sideloaden van apps handig kan zijn, is het een gemakkelijke manier om een nare malware-infectie op te lopen, vooral als u hun APK-bestanden downloadt van minder betrouwbare bronnen. Om deze reden moet u zich houden aan officiële Android-appstores zoals de Google Play Store, de Amazon Appstore en de Samsung Galaxy Store.
Tegelijkertijd wilt u er ook voor zorgen dat Google Play Protect is ingeschakeld op uw Android-telefoon, omdat het al uw bestaande apps en eventuele nieuwe die u downloadt scant op malware. Voor extra bescherming wilt u mogelijk ook overwegen om een van de beste Android-antivirus-apps te gebruiken.
Banking trojans kunnen behoorlijk winstgevend zijn voor de hackers die ze gebruiken in hun aanvallen, dus verwacht niet dat dit specifieke dreiging snel zal verdwijnen.
