El troyano bancario Medusa para Android ha resurgido casi un año después de haber operado desapercibido en campañas dirigidas a Francia, Italia, Estados Unidos, Canadá, España, Reino Unido y Turquía.
Esta nueva actividad ha sido rastreada desde mayo y se basa en variantes más compactas que intentan iniciar transacciones directamente desde dispositivos comprometidos, requieren menos privilegios y tienen nuevas capacidades.
El troyano bancario Medusa, también conocido como TangleBot, es un malware como servicio (MaaS) de Android descubierto en 2020. El malware tiene capacidades de registro de teclas, control de pantalla y manipulación de SMS.
Aunque tienen el mismo nombre, operan de manera diferente a las bandas de ransomware y las botnets basadas en Mirai para ataques distribuidos de denegación de servicio (DDoS).
La reciente campaña fue descubierta por el equipo de inteligencia de amenazas de la empresa de gestión de fraude en línea Cleafy. El equipo dijo que las variantes de malware son más ligeras, requieren menos privilegios en el dispositivo e incluyen superposiciones de pantalla completa y la capacidad de realizar capturas de pantalla.
última campaña
La primera evidencia de la reciente variante Medusa data de julio de 2023, según los investigadores. Cleafy los observó en campañas que utilizaban phishing por SMS (“smishing”) para descargar malware a través de aplicaciones cuentagotas.
Los investigadores descubrieron 24 campañas que utilizaban este malware y las atribuyeron a cinco botnets distintas (UNKN, AFETZEDE, ANAKONDA, PEMBE, TONY) que entregaban aplicaciones maliciosas.
La botnet UNKN es operada por un grupo único de actores de amenazas que tienen como objetivo países europeos, específicamente Francia, Italia, España y el Reino Unido.
Descripción general del clúster y la botnet Medusa
Fuente: Cleafy
Las aplicaciones de cuentagotas recientes utilizadas en estos ataques incluyen un navegador Chrome falso, una aplicación de conectividad 5G y una aplicación de transmisión falsa llamada 4K Sports.
La elección de la aplicación de transmisión de deportes 4K como cebo parece oportuna dado que el Campeonato de la UEFA EURO 2024 está actualmente en marcha.
Cleafy comentó que todas las campañas y botnets son manejadas por la infraestructura central de Medusa, que obtiene dinámicamente las URL del servidor de comando y control (C2) de los perfiles públicos de redes sociales.
Obtener la dirección C2 del canal encubierto
Fuente: Cleafy
Nueva variante de Medusa
Los autores del malware Medusa han optado por reducir su impacto en los dispositivos comprometidos, solicitando actualmente sólo una pequeña cantidad de permisos, pero aún requieren los servicios de accesibilidad de Android.
El malware también tiene la capacidad de acceder a la lista de contactos de la víctima y enviar SMS, un método de distribución de claves.
Comparación de privilegios solicitados
Fuente: Cleafy
Según el análisis de Cleafy, el autor del malware eliminó 17 comandos de la versión anterior del malware y agregó 5 comandos nuevos.
destroyo: desinstala una aplicación específica permdrawover: solicita el permiso “Dibujar sobre” setoverlay: establece una superposición de pantalla negra take_scr: toma una captura de pantalla update_sec: actualiza el secreto del usuario
El comando “setoverlay” permite a atacantes remotos utilizar técnicas engañosas como hacer que el dispositivo parezca bloqueado/apagado para ocultar la actividad ODF maliciosa que ocurre en segundo plano. Es digno de mención porque le permite realizar varias acciones.
Comportamiento de superposición de pantalla negra
Fuente: Cleafy
La nueva capacidad de realizar capturas de pantalla también es una adición importante, ya que brinda a los actores de amenazas una nueva forma de robar información confidencial de dispositivos infectados.
En general, el ataque del troyano bancario móvil Medusa parece estar ampliando su alcance y volviéndose más sigiloso, sentando las bases para un despliegue a mayor escala y un mayor número de víctimas.
Cleafy aún no ha confirmado ninguna aplicación de cuentagotas en Google Play, pero a medida que más ciberdelincuentes participen en MaaS, sus estrategias de distribución deberían volverse más diversas y sofisticadas.
Fuente: https://www.bleepingcomputer.com/news/security/new-medusa-malware-variants-target-android-users-in-seven-countries/amp/