Investigadores de ciberseguridad han descubierto una versión actualizada de un troyano bancario para Android llamado Medusa que se ha utilizado para dirigirse a usuarios en Canadá, Francia, Italia, España, Turquía, el Reino Unido y los EE. UU.
Las nuevas campañas de fraude, observadas en mayo de 2024 y activas desde julio de 2023, se manifestaron a través de cinco botnets diferentes operadas por varios afiliados, según la firma de ciberseguridad Cleafy. dicho en un análisis publicado la semana pasada.
Las nuevas muestras de Medusa presentan un «conjunto de permisos liviano y nuevas características, como la capacidad de mostrar una superposición de pantalla completa y desinstalar aplicaciones de forma remota», dijeron los investigadores de seguridad Simone Mattia y Federico Valentini.
Medusa, también conocida como TangleBot, es un sofisticado malware para Android descubierto por primera vez en julio de 2020 dirigido a entidades financieras en Turquía. Viene con capacidades para leer mensajes SMS, registrar pulsaciones de teclas, realizar capturas de pantalla, grabar llamadas, compartir la pantalla del dispositivo en tiempo real y realizar transferencias de fondos no autorizadas mediante ataques de superposición para robar credenciales bancarias.
En febrero de 2022, ThreatFabric descubrió campañas de Medusa que aprovechaban mecanismos de entrega similares a los de FluBot (también conocido como Cabassous) al enmascarar el malware como aplicaciones de utilidad y entrega de paquetes aparentemente inofensivas. Se sospecha que los autores de amenazas detrás del troyano proceden de Turquía.
El último análisis de Cleafy revela no sólo mejoras en el malware, sino también el uso de aplicaciones de cuentagotas para difundir Medusa bajo la apariencia de actualizaciones falsas. Además, servicios legítimos como Telegram y X se utilizan como solucionadores de caída muerta para recuperar el servidor de comando y control (C2) utilizado para la filtración de datos.
Un cambio notable es la reducción en la cantidad de permisos solicitados en un aparente esfuerzo por reducir las posibilidades de detección. Dicho esto, aún requiere la API de servicios de accesibilidad de Android, que le permite habilitar de manera sigilosa otros permisos según sea necesario y evitar levantar sospechas en los usuarios.
Otra modificación es la capacidad de configurar una pantalla negra superpuesta en el dispositivo de la víctima para dar la impresión de que el dispositivo está bloqueado o apagado y usarlo como cobertura para llevar a cabo actividades maliciosas.
Los grupos de botnets Medusa normalmente se basan en enfoques probados, como el phishing, para propagar el malware. Sin embargo, se ha observado que nuevas oleadas lo propagan a través de aplicaciones de cuentagotas descargadas de fuentes no confiables, lo que subraya los esfuerzos continuos por parte de los actores de amenazas para evolucionar sus tácticas.
«Minimizar los permisos requeridos evade la detección y parece más benigno, mejorando su capacidad para operar sin ser detectado durante períodos prolongados», dijeron los investigadores. «Geográficamente, el malware se está expandiendo a nuevas regiones, como Italia y Francia, lo que indica un esfuerzo deliberado por diversificar su grupo de víctimas y ampliar su superficie de ataque».
El desarrollo llega como Symantec reveló que se están utilizando actualizaciones ficticias del navegador Chrome para Android como señuelo para eliminar el troyano bancario Cerberus. Campañas similares que distribuyen aplicaciones falsas de Telegram a través de sitios web falsos («telegroms[.]También se ha observado que los usuarios de icu distribuyen otro malware para Android denominado SpyMax.
Una vez instalada, la aplicación solicita al usuario que habilite los servicios de accesibilidad, lo que le permite recopilar pulsaciones de teclas, ubicaciones precisas e incluso la velocidad a la que se mueve el dispositivo. Luego, la información recopilada se comprime y se exporta a un servidor C2 codificado.
«SpyMax es una herramienta de administración remota (RAT) que tiene la capacidad de recopilar información personal/privada del dispositivo infectado sin el consentimiento del usuario y la envía a un actor de amenazas remoto», K7 Security Labs dicho. «Esto permite a los actores de amenazas controlar los dispositivos de las víctimas, lo que afecta la confidencialidad y la integridad de la privacidad y los datos de la víctima».