logo SOS Ransomware
Kontakt 24/7

Medusa ist wieder da: Angriffskampagne auf Android in Frankreich

Medusa, ein gefürchteter Trojaner, ist mit einer neuen Welle von Angriffen auf Nutzer von Android-Smartphones in Frankreich sowie in mehreren anderen Ländern wie Großbritannien, Spanien, Italien, der Türkei, den USA und Kanada zurückgekehrt. Diejenigen, die dachten, ihr Gerät sei sicher, müssen sich auf eine neue Bedrohung einstellen.

Medusa, auch bekannt als TangleBot, hat sich zu einem raffinierten und heimlichen Schädling entwickelt, der in der Lage ist, fortschrittliche Sicherheitsmaßnahmen zu umgehen und Geräte zu infiltrieren, um sensible Informationen zu stehlen, insbesondere um auf die Bankkonten seiner Opfer zuzugreifen. Dieses Wiederauftauchen markiert eine deutliche Weiterentwicklung der Malware, die nun in der Lage ist, selbst die fortschrittlichsten Schutzmechanismen zu umgehen und mit großer Präzision auf Bankdaten abzuzielen.

Die Cybersicherheitsforscher von Cleafy entdeckten den Virus im Mai 2024 und veröffentlichten nun ihren detaillierten Bericht. Der Bankentrojaner Medusa wurde bei diesen Angriffen zum ersten Mal in Frankreich und Italien identifiziert.

Geschichte von Medusa: Entstehung und Entwicklung

Der Medusa-Trojaner wurde erstmals im Jahr 2020 identifiziert und zeichnete sich bereits damals durch seine Fähigkeit aus, Android-Geräte ins Visier zu nehmen. Er wird in Form eines Abonnements dank eines „Malware-as-a-Service“ -Angebots (MaaS) angeboten. Dieses Angebot, bei dem Cyberkriminelle Malware zur Durchführung ihrer Angriffe mieten können, hat dazu beigetragen, dass Android-Benutzer stark betroffen waren.

Nach einer kurzen Phase der Inaktivität trat Medusa 2024 wieder in den Vordergrund und zielte zum ersten Mal auf Nutzer in Frankreich und Italien ab, wie der Cleafy-Bericht feststellt. Diese neue Version der Malware ist noch raffinierter und heimlicher und nutzt fortschrittliche Methoden, um der Entdeckung zu entgehen, wodurch die persönlichen und finanziellen Daten der Nutzer gefährdet werden. Daher ist es von entscheidender Bedeutung, alle Android-Systeme auf dem neuesten Stand zu halten und besonders wachsam gegenüber Phishing-Versuchen und dem Herunterladen von Anwendungen aus nicht verifizierten Quellen zu sein.

Wie konnte sich Medusa so schnell verbreiten?

Auf die klassischste Art und Weise, während gleichzeitig fortgeschrittene Phishing-Techniken verwendet wurden. Die Nutzer wurden oft dazu verleitet, bösartige Anwendungen herunterzuladen, die legitim erschienen, wodurch der Trojaner unauffällig in viele Geräte eindringen konnte. Diese Fähigkeit, seine Absichten zu verschleiern, machte Medusa besonders gefährlich und für herkömmliche Sicherheitssysteme schwer zu erkennen. Die Malware ermöglicht unter anderem das Aufzeichnen von Tastaturanschlägen über einen Keylogger, die Steuerung von Bildschirmen und die Manipulation von SMS.

Phishing-Kampagnen per SMS

Im Mai 2024 deckten Cleafy-Forscher neue ausgeklügelte Betrugskampagnen auf, bei denen die Medusa-Malware eingesetzt wurde. Laut der ausführlichen Studie, die auf ihrer Website veröffentlicht wurde, stützten sich diese Kampagnen auf SMS-Phishing-Techniken ((auch Smishing genannt)). Diese SMS sind so gestaltet, dass sie offizielle Mitteilungen von Banken, Dienstleistern oder anderen vertrauenswürdigen Organisationen nachahmen, in denen die Opfer dazu aufgefordert werden, auf betrügerische Links zu klicken. Sobald der Link angeklickt wurde, wurden die Nutzer auf gefälschte Webseiten weitergeleitet, auf denen sie aufgefordert wurden, angeblich notwendige Anwendungen herunterzuladen. Diese Anwendungen enthielten in Wirklichkeit den Trojaner Medusa, der sich still und heimlich auf ihren Geräten installierte, um sensible Daten zu stehlen. Cleafy weist darauf hin, dass diese neue Variante von Medusa besonders kompakt und schwer zu entdecken ist, was diese Kampagnen für Android-Nutzer in Frankreich und überall dort, wo die Bedrohung eingesetzt wird, noch gefährlicher macht.

Medusa, nouvelles campagnes de phishing SMS ciblant la France

Prozess der Verbreitung

  1. Erhalt der betrügerischen SMS: Dem Opfer wird eine betrügerische Nachricht mit einem Link geschickt.
  2. Herunterladen der App: Das Opfer klickt auf den Link und lädt eine infizierte App herunter.
  3. Installation des Droppers: Die Anwendung installiert einen„Dropper“ (Injektor oder „Tropfvirus“) auf dem Smartphone.
  4. Installation von Medusa: Der Dropper installiert schließlich Medusa auf dem Gerät.

Entwicklung der Malware

Die Experten von Cleafy stellten erhebliche Veränderungen in der Funktionsweise von Medusa fest. Er beansprucht weniger Android-Berechtigungen als im Jahr 2023, was seine Erkennung erschwert. Medusa wurde optimiert, um unauffälliger zu funktionieren, und reduziert die Anzahl der Berechtigungen , die bei der Installation vom Benutzer angefordert werden . Anstatt beispielsweise eine große Anzahl von Berechtigungen auf einmal anzufordern, beschränkt er sich auf diejenigen, die für seine bösartigen Operationen absolut notwendig sind, einschließlich des Zugriffs auf wichtige Dienste wie Erreichbarkeit, Kontakte und Nachrichten. Die Reduzierung der erforderlichen Berechtigungen macht die Malware auch kompatibler mit einer größeren Vielfalt an Android-Geräten und erhöht so ihre potenzielle Reichweite.

„Durch die Nutzung von Erreichbarkeitsdiensten erweitert Medusa seine Funktionalität über die einfache Fernsteuerung hinaus. Dadurch kann der Trojaner mehrere Funktionen automatisieren, die üblicherweise mit modernen Banking-Trojanern in Verbindung gebracht werden, darunter das kontinuierliche Speichern von Schlüsseln und dynamische Overlay-Angriffe“, erklärt das Cleafy Threat Intelligence Team.

Reduzierte Berechtigungen und neue Funktionen.

Wie wir durch die Verringerung der Anzahl der angeforderten Berechtigungen gesehen haben, wird Medusa bei der ersten Analyse weniger sichtbar und damit noch gefährlicher. Dieser neue Ansatz ermöglicht es ihm, mit einem leichteren Fingerabdruck zu arbeiten, wodurch er leichter in Android-Geräte eindringen kann, ohne Verdacht zu erregen. Besonders heimtückisch ist der Zugriff auf die Erreichbarkeitsdienste, das Telefonbuch und die SMS, denn dadurch kann Medusa das Gerät ohne das Wissen des Benutzers steuern, Befehle ausführen und auf Daten zugreifen, ohne dass der Benutzer etwas davon merkt.

„Zu seinen Merkmalen gehören ein Keylogger, Bildschirmkontrollen und die Fähigkeit, SMS zu lesen/schreiben. Diese Fähigkeiten ermöglichen es den Bedrohungsakteuren, eines der riskantesten Betrugsszenarien zu realisieren: denOn-Device Fraud (ODF).“

Cleafy Threat Intelligence

Diese neuen Funktionen sind besonders aggressiv, da sie den Angreifern nicht nur Zugang zu Bankdaten, sondern auch zu persönlichen Informationen und per SMS versendeten Einmalpasswörtern (OTP) verschaffen und so den Schutz der Zwei-Faktor-Authentifizierung außer Kraft setzen.

medusa nouveau variant
Vergleich der erforderlichen Berechtigungen bei den ersten Kampagnen und den jüngsten Kampagnen.

Zu den neuen Funktionen gehören unter anderem das Erstellen von Bildschirmfotos ohne Wissen des Benutzers, die Deinstallation von Anwendungen aus der Ferne und das Überlagern von Scheinfenstern.

Die Analyse von Cleafy zeigt, dass die Autoren der Malware die vorherige Version verschlankt haben, indem sie 17 Befehle entfernt und fünf neue hinzugefügt haben:

  • destroyo: uninstall a specific application.
  • permdrawover: Berechtigung „Drawing Over“ anfordern
  • setoverlay: ein schwarzes Bildschirm-Overlay einstellen
  • take_scr: einen Screenshot aufnehmen
  • update_sec: Benutzergeheimnis aktualisieren

Alle diese Taktiken zielen auf den heimlichen Zugriff auf unsere persönlichen Daten ab. Die Screenshot-Funktion ermöglicht es Angreifern zum Beispiel, die Aktivitäten des Benutzers in Echtzeit zu überwachen und aufzuzeichnen, einschließlich der Eingabe von Passwörtern und anderen vertraulichen Informationen. Nach Ansicht der Cleafy-Forscher ist der Befehl„setoverlay“ bemerkenswert, da er es ermöglicht, Angriffe unbemerkt durchzuführen. Der Angreifer ist in der Lage, das Gerät als ausgeschaltet erscheinen zu lassen, um seine bösartigen Aktivitäten zu verschleiern, die dann im Hintergrund ablaufen können. Diese Kombination fortschrittlicher Techniken erhöht die Effektivität von Medusa und die Gefahr, die er für Nutzer von Android-Smartphones darstellt.

Medusa exemple de la commande overlay en action
Befehl „setoverlay“ in Aktion – Quelle: Cleafy.

Nutzung von 5 Botnets

Um die betrügerischen SMS zu verbreiten, nutzten die Cyberkriminellen fünf verschiedene Botnets. Jedes von ihnen zeichnete sich „durch die Art der verwendeten Köder, die Verbreitungsstrategie und die geografischen Ziele“ aus, so die Forscher. Die Analyse ergab, dass es zwei verschiedene Gruppen von Medusa-Botnets gibt, die jeweils unterschiedliche operative Merkmale aufweisen :

Medusa, caractéristiques des 5 botnets
Merkmale der fünf Botnets – Quelle: Cleafy.

Besonderheiten der Angriffe auf Frankreich

Das UNKN-Botnet, das zum zweiten Cluster gehört und hauptsächlich auf europäische Länder abzielt, markiert eine Veränderung in der operativen Strategie von Medusa. Es wurden spezifische Kampagnen entwickelt, um Franzosen und Italiener in die Falle zu locken. Im Gegensatz zu den herkömmlichen Varianten wurden Instanzen mithilfe von „Droppern“ installiert. Der Dropper oder Injektor wird manchmal auch als Tropfvirus bezeichnet und ist ein betrügerischer Algorithmus, der als eine Art Eingangstür dient. Er erleichtert die Verbreitung und Installation verschiedener bösartiger Software, wie zum Beispiel Ransomware. Diese kleine und leichte Software wurde speziell entwickelt, um Cybersicherheitsmaßnahmen zu täuschen. Sie wird aus nicht vertrauenswürdigen Quellen heruntergeladen und nach der Installation auf dem Gerät kann sich die Virenlast unbemerkt entfalten. Wenn Sie mehr über Virenlasten erfahren möchten, können Sie unseren Artikel zu diesem Thema lesen.

Für die Cybersicherheitsexperten von Cleafy „deutet dies darauf hin, dass die TA hinter diesem Botnet mit neuen Verbreitungsmethoden experimentieren, die über die traditionellen Phishing-Taktiken hinausgehen“. Diese Kampagnen sind sorgfältig ausgearbeitet, um die kulturellen, sprachlichen und verhaltensbedingten Besonderheiten der Nutzer auszunutzen. Die Nachrichten können so gestaltet werden, dass sie relevante Kontextinformationen enthalten, wie z. B. Hinweise auf nationale Ereignisse oder lokale öffentliche Dienste, um ihre Glaubwürdigkeit zu erhöhen.

Zum Schluss 5 grundlegende Tipps, um sich zu schützen

  1. Seien Siebei verdächtigen SMS immer misstrauisch: Klicken Sie nie auf Links in verdächtigen SMS.
  2. Verwenden Sie ein Antivirenprogramm: Installieren Sie ein zuverlässiges Antivirenprogramm auf Ihrem Smartphone.
  3. Kontrollieren Sie die Quelle von Apps: Laden Sie Apps nur von den Originalquellen herunter.
  4. Überprüfen Sie die Berechtigungen von Apps: Bevor Sie eine App installieren, überprüfen Sie die Berechtigungen, die sie anfordert.
  5. Halten Sie Ihr System auf dem neuestenStand: Stellen Sie sicher, dass Ihr Smartphone über die neuesten Sicherheitsupdates verfügt.

Medusa stellt eine ernsthafte Bedrohung für Nutzer von Android-Smartphones in Deutschland und weltweit dar. Seine Fähigkeit, sich weiterzuentwickeln und Sicherheitssysteme zu umgehen, macht ihn besonders gefährlich. Cleafy hat bislang noch nicht beobachtet, dass Dropper über den Google Play Store verteilt werden, aber die Möglichkeit zukünftiger Verbreitungen über diesen Kanal ist nicht auszuschließen, wie es bereits bei anderen Malware-Familien der Fall war. Bleiben Sie wachsam, schützen Sie Ihre Geräte und seien Sie misstrauisch gegenüber verdächtigen SMS.

Quellen:

Cleafy-Studie: Medusa wird wiedergeboren: Neue kompakte Variante entdeckt.

Picture of Florent Chassignol
Florent Chassignol

Partager cet article

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

© 2025 SOS RANSOMWARE & RECOVEO TECHNOLOGY GROUP | Made by Tell It