मेडुसा, एक बैंकिंग ट्रोजन जिसे पहली बार 2020 में पहचाना गया था, कथित तौर पर कई नए अपग्रेड के साथ वापस आ गया है जो इसे और अधिक खतरनाक बनाता है। मैलवेयर का नया संस्करण भी मूल संस्करण की तुलना में अधिक क्षेत्रों को लक्षित करने वाला बताया गया है। एक साइबर सुरक्षा फर्म ने कनाडा, फ्रांस, इटली, स्पेन, तुर्की, यूके और यूएस में सक्रिय ट्रोजन का पता लगाया है। मेडुसा मुख्य रूप से Google के एंड्रॉयड ऑपरेटिंग सिस्टम के लिए खतरा, स्मार्टफोन मालिकों के लिए जोखिम। किसी भी बैंकिंग ट्रोजन की तरह, यह डिवाइस पर बैंकिंग ऐप्स पर हमला करता है और यहां तक कि डिवाइस पर धोखाधड़ी भी कर सकता है।
मेडुसा बैंकिंग ट्रोजन के नए संस्करण की खोज हुई
साइबर सुरक्षा फर्म क्लीफ़ी रिपोर्टों मेडुसा बैंकिंग ट्रोजन से जुड़े नए धोखाधड़ी अभियान मई में लगभग एक साल तक रडार के नीचे रहने के बाद देखे गए। मेडुसा एक प्रकार का टैंगलबॉट है – एक एंड्रॉइड मैलवेयर जो किसी डिवाइस को संक्रमित कर सकता है और हमलावरों को उस पर व्यापक नियंत्रण दे सकता है। जबकि उनका उपयोग व्यक्तिगत जानकारी चुराने और व्यक्तियों की जासूसी करने के लिए किया जा सकता है, मेडुसा, एक बैंकिंग ट्रोजन होने के नाते, मुख्य रूप से बैंकिंग ऐप पर हमला करता है और पीड़ितों से पैसे चुराता है।
मेडुसा का मूल संस्करण शक्तिशाली क्षमताओं से लैस था। उदाहरण के लिए, इसमें रिमोट एक्सेस ट्रोजन (RAT) क्षमता थी जो इसे हमलावर को स्क्रीन नियंत्रण और एसएमएस पढ़ने और लिखने की क्षमता प्रदान करने की अनुमति देती थी। यह एक कीलॉगर के साथ भी आया था और इस संयोजन ने इसे सबसे खतरनाक धोखाधड़ी परिदृश्यों में से एक को अंजाम देने की अनुमति दी – फर्म के अनुसार डिवाइस पर धोखाधड़ी।
हालांकि, नया वैरिएंट और भी ज़्यादा ख़तरनाक बताया जा रहा है। साइबरसिक्योरिटी फ़र्म ने पाया कि पुराने मैलवेयर में मौजूद 17 कमांड को नए वैरिएंट में हटा दिया गया है। ट्रोजनऐसा बंडल की गई फ़ाइल में अनुमतियों की आवश्यकता को कम करने के लिए किया गया था, जिससे संदेह कम होता है। एक और अपग्रेड यह है कि यह हमला किए गए डिवाइस पर एक ब्लैक स्क्रीन ओवरले सेट कर सकता है, जिससे उपयोगकर्ता को लगता है कि डिवाइस लॉक है या बंद है, जबकि ट्रोजन अपनी दुर्भावनापूर्ण गतिविधियों को अंजाम देता है।
कथित तौर पर खतरा पैदा करने वाले लोग डिवाइस को संक्रमित करने के लिए नए डिलीवरी मैकेनिज्म का भी इस्तेमाल कर रहे हैं। पहले, ये एसएमएस लिंक के ज़रिए फैलाए जाते थे। लेकिन अब, ड्रॉपर ऐप (ऐसे ऐप जो वैध लगते हैं लेकिन इंस्टॉल होने के बाद मैलवेयर को तैनात करते हैं) का इस्तेमाल अपडेट की आड़ में मेडुसा को इंस्टॉल करने के लिए किया जा रहा है। हालाँकि, रिपोर्ट में इस बात पर प्रकाश डाला गया है कि मैलवेयर निर्माता Google Play स्टोर के ज़रिए मेडुसा को तैनात करने में सक्षम नहीं हैं।
इंस्टॉल होने के बाद, ऐप उपयोगकर्ता को सेंसर डेटा और कीस्ट्रोक्स एकत्र करने के लिए एक्सेसिबिलिटी सेवाओं को सक्षम करने के लिए प्रेरित करने वाले संदेश दिखाता है। फिर डेटा को संपीड़ित किया जाता है और एक एन्कोडेड C2 सर्वर पर निर्यात किया जाता है। एक बार पर्याप्त जानकारी एकत्र हो जाने के बाद, खतरा पैदा करने वाला व्यक्ति डिवाइस को नियंत्रित करने और वित्तीय धोखाधड़ी करने के लिए रिमोट एक्सेस का उपयोग कर सकता है।
एंड्रॉयड उपयोगकर्ताओं को सलाह दी जाती है कि वे अज्ञात प्रेषकों द्वारा एसएमएस, मैसेजिंग ऐप या सोशल मीडिया प्लेटफॉर्म के माध्यम से साझा किए गए यूआरएल पर क्लिक न करें। उन्हें अविश्वसनीय स्रोतों से ऐप डाउनलोड करते समय भी सावधान रहना चाहिए, या ऐप डाउनलोड करने और अपडेट करने के लिए बस Google Play स्टोर पर ही रहना चाहिए।
