İlk olarak Türkiye’yi hedef alan zararlı, küllerinden yeniden doğdu
Uzmanlar, yaklaşık bir yıldır ortalıklarda görünmeyen Android bankacılık truva atı (trojan) Medusa’nın yeniden ortaya çıktığı uyarısında bulundu. Cleafy’daki siber güvenlik araştırmacıları, yeni bir Medusa versiyonunun birden fazla tehdit aktörü tarafından kullanıldığını ve dünya çapında birçok ülkedeki kurbanları hedef aldığını belirtti.
Araştırmacılar raporlarında, son zamanlarda “4K Sports” adlı yeni bir uygulamanın yüklemelerinde bir artış gözlemlediklerini belirtti. Daha sonra yapılan incelemelerde bu uygulamanın Medusa’nın bir versiyonu olduğu ve komuta altyapısı ile yeteneklerinde önemli değişiklikler olduğu tespit edildi.
En önemlisi, yeni versiyon daha az izin talep ettiğinden daha zor tespit ediliyor. Ancak hala Erişilebilirlik Hizmetleri‘ne erişim izni istiyor. Diğer dikkat çekici hususlar arasında SMS Yayını, İnternet Ön Plan Hizmeti ve Paket Yönetimi yer alıyor. Yeni versiyonda toplamda 17 komut kaldırılırken; siyah ekran kaplaması oluşturma, ekran görüntüsü alma ve daha pek çok komut da dahil olmak üzere beş yeni komut eklenmiş durumda.
Ayrıca yeni Medusa’da her biri özgün operasyonel amaçlara ve coğrafi hedeflere sahip beş farklı botnet tespit edildi. Bunlar UNKN, AFETZEDE, ANAKONDA, PEMBE ve TONY olarak adlandırıldı ve hedefleri çoğunlukla Kanada, İspanya, Fransa, İtalya, İngiltere, ABD ve Türkiye’de bulunuyor.
Araştırmacılar, botnetlerin Medusa’yı dağıtmak için büyük olasılıkla dropper’ları kullandığını söyledi. Bununla birlikte, zararlının henüz Google Play Store’da görünmemiş olması, erişimini önemli ölçüde azaltıyor. Ama özel web siteleri, sosyal medya kanalları, kimlik avı ve diğer yöntemler hala uygulanabilir ve hala yüz binlerce indirme ile sonuçlanabiliyor.
Fidye yazılımı veya aynı adı taşıyan Mirai tabanlı botnet ile karıştırılmaması gereken Medusa bankacılık truva atı, öncelikle finans kurumlarını hedef almak ve bankacılık dolandırıcılığını kolaylaştırmak için tasarlanmış sofistike bir kötü amaçlı yazılım türü. Medusa, ilk olarak 2020 yılında Türk finans kurumlarını hedef aldığında tespit edilmişti.