内容摘要：近日，Cleafy 公司的威胁情报团队发现，专门针对安卓系统的Medusa银行木马软件再次“卷土重来”。该软件此前曾对法国、意大利、美国、加拿大、西班牙、英国和土耳其发起过攻击活动，沉寂了一年后，如今

近日，卷土重来Cleafy 公司的曾针威胁情报团队发现 ，专门针对安卓系统的对国Medusa银行木马软件再次“卷土重来” 。该软件此前曾对法国 、安卓意大利 
、用户银行美国
、发起加拿大、攻击西班牙、木马英国和土耳其发起过攻击活动，变种沉寂了一年后，卷土重来如今又出现了新的曾针 Medusa 恶意软件变种。

Medusa 银行木马也被称为 TangleBot ，对国是安卓 2020 年发现的高防服务器一种安卓恶意软件即服务（MaaS）操作。该恶意软件提供键盘记录、用户银行屏幕控制和短信操作功能。发起

虽然名称相同 ，但该行动不同于勒索软件团伙和基于 Mirai 的分布式拒绝服务（DDoS）攻击僵尸网络。

研究人员表示，这些恶意软件变种更轻巧 ，在设备上需要的权限更少 ，而且包括全屏覆盖和截图捕获 。

最新活动

Cleafy 的研究人员表示，2023年7月就曾在依靠短信钓鱼（"smishing"）的活动中发现了Medusa 变种，它们通过滴注应用程序侧载恶意软件。服务器租用当时共发现了 24 个使用该恶意软件的活动 ，研究人员将其归因于五个独立的僵尸网络（UNKN 、AFETZEDE、ANAKONDA 、PEMBE 和 TONY） ，这些僵尸网络负责发送恶意应用程序。

UNKN 僵尸网络由一群不同的威胁行为者运营 ，主要针对欧洲国家，特别是法国、意大利、西班牙和英国。

Medusa 僵尸网络和集群概述，免费模板资料来源： Cleafy

在这些攻击中使用的钓鱼应用程序包括一个虚假的 Chrome 浏览器、一个 5G 连接应用程序和一个名为 4K Sports 的假冒流媒体应用程序 。

鉴于 2024 年欧洲杯正在进行中，选择 4K 体育流媒体应用程序作为诱饵似乎恰逢其时 。

Cleafy 评论说 ，所有活动和僵尸网络都由 Medusa 的中央基础设施处理，该基础设施从公共社交媒体配置文件中动态获取指挥和控制（C2）服务器的 URL。

从秘密渠道检索 C2 地址
，图片来源：Cleafy

新的 Medusa 变种

Medusa恶意软件的创建者减少了其在被攻击设备上的源码下载足迹
，现在只要求一小部分权限 。不过仍需要安卓的可访问性服务  。

此外 ，该恶意软件还保留了访问受害者联系人列表和发送短信的功能 。

所申请权限的比较，资料来源 ： Cleafy

Cleafy 的分析显示，恶意软件作者删除了前一版本恶意软件中的 17 条命令
 ，并添加了 5 条新命令
：

destroyo ：卸载特定应用程序permdrawover
：请求 "Drawing Over "权限setoverlay：设置黑屏覆盖take_scr
：截图update_sec ：更新用户秘密

值得注意的是 ，源码库"setoverlay "命令允许远程攻击者执行欺骗性操作
，例如使设备显示锁定/关闭 ，以掩盖后台发生的恶意 ODF 活动。

实际黑屏覆盖 ，图片来源：Cleafy

捕获屏幕截图的新功能也是此次新增的一个重要功能，它为威胁者提供了一种从受感染设备中窃取敏感信息的新方法。

总体而言，Medusa 移动银行木马的行动相比之前扩大了目标范围，并且行动更加隐蔽难以发现，为后续发起更大规模的亿华云攻击行动“奠定”了基础。

虽然 Cleafy 目前还未在 Google Play 上发现任何此类程序，但随着加入 MaaS 的网络犯罪分子数量不断增加 ，其传播策略也将变得更加复杂。