{"id":1253616,"date":"2024-06-26T22:48:09","date_gmt":"2024-06-26T22:48:09","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-nuevo-troyano-medusa-para-android-se-dirige-a-usuarios-bancarios-en-siete-paises\/"},"modified":"2024-06-26T22:48:13","modified_gmt":"2024-06-26T22:48:13","slug":"el-nuevo-troyano-medusa-para-android-se-dirige-a-usuarios-bancarios-en-siete-paises","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-nuevo-troyano-medusa-para-android-se-dirige-a-usuarios-bancarios-en-siete-paises\/","title":{"rendered":"El nuevo troyano Medusa para Android se dirige a usuarios bancarios en siete pa\u00edses"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>26 de junio de 2024<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Seguridad de Android\/Inteligencia contra amenazas<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Investigadores de ciberseguridad han descubierto una versi\u00f3n actualizada de un troyano bancario para Android llamado Medusa<\/strong> que se ha utilizado para dirigirse a usuarios en Canad\u00e1, Francia, Italia, Espa\u00f1a, Turqu\u00eda, el Reino Unido y los EE. UU.<\/p>\n

Las nuevas campa\u00f1as de fraude, observadas en mayo de 2024 y activas desde julio de 2023, se manifestaron a trav\u00e9s de cinco botnets diferentes operadas por varios afiliados, seg\u00fan la firma de ciberseguridad Cleafy. dicho<\/a> en un an\u00e1lisis publicado la semana pasada.<\/p>\n

Las nuevas muestras de Medusa presentan un “conjunto de permisos liviano y nuevas caracter\u00edsticas, como la capacidad de mostrar una superposici\u00f3n de pantalla completa y desinstalar aplicaciones de forma remota”, dijeron los investigadores de seguridad Simone Mattia y Federico Valentini.<\/p>\n

Medusa, tambi\u00e9n conocida como TangleBot, es un sofisticado malware para Android descubierto por primera vez<\/a> en julio de 2020 dirigido a entidades financieras en Turqu\u00eda. Viene con capacidades para leer mensajes SMS, registrar pulsaciones de teclas, realizar capturas de pantalla, grabar llamadas, compartir la pantalla del dispositivo en tiempo real y realizar transferencias de fondos no autorizadas mediante ataques de superposici\u00f3n para robar credenciales bancarias.<\/p>\n

\"La<\/a><\/center><\/div>\n

En febrero de 2022, ThreatFabric descubri\u00f3 campa\u00f1as de Medusa que aprovechaban mecanismos de entrega similares a los de FluBot (tambi\u00e9n conocido como Cabassous) al enmascarar el malware como aplicaciones de utilidad y entrega de paquetes aparentemente inofensivas. Se sospecha que los autores de amenazas detr\u00e1s del troyano proceden de Turqu\u00eda.<\/p>\n

El \u00faltimo an\u00e1lisis de Cleafy revela no s\u00f3lo mejoras en el malware, sino tambi\u00e9n el uso de aplicaciones de cuentagotas para difundir Medusa bajo la apariencia de actualizaciones falsas. Adem\u00e1s, servicios leg\u00edtimos como Telegram y X se utilizan como solucionadores de ca\u00edda muerta<\/a> para recuperar el servidor de comando y control (C2) utilizado para la filtraci\u00f3n de datos.<\/p>\n

Un cambio notable es la reducci\u00f3n en la cantidad de permisos solicitados en un aparente esfuerzo por reducir las posibilidades de detecci\u00f3n. Dicho esto, a\u00fan requiere la API de servicios de accesibilidad de Android, que le permite habilitar de manera sigilosa otros permisos seg\u00fan sea necesario y evitar levantar sospechas en los usuarios.<\/p>\n

\"Troyano<\/a><\/div>\n

Otra modificaci\u00f3n es la capacidad de configurar una pantalla negra superpuesta en el dispositivo de la v\u00edctima para dar la impresi\u00f3n de que el dispositivo est\u00e1 bloqueado o apagado y usarlo como cobertura para llevar a cabo actividades maliciosas.<\/p>\n

Los grupos de botnets Medusa normalmente se basan en enfoques probados, como el phishing, para propagar el malware. Sin embargo, se ha observado que nuevas oleadas lo propagan a trav\u00e9s de aplicaciones de cuentagotas descargadas de fuentes no confiables, lo que subraya los esfuerzos continuos por parte de los actores de amenazas para evolucionar sus t\u00e1cticas.<\/p>\n

“Minimizar los permisos requeridos evade la detecci\u00f3n y parece m\u00e1s benigno, mejorando su capacidad para operar sin ser detectado durante per\u00edodos prolongados”, dijeron los investigadores. “Geogr\u00e1ficamente, el malware se est\u00e1 expandiendo a nuevas regiones, como Italia y Francia, lo que indica un esfuerzo deliberado por diversificar su grupo de v\u00edctimas y ampliar su superficie de ataque”.<\/p>\n

\"La<\/a><\/center><\/section>\n

El desarrollo llega como Symantec revel\u00f3<\/a> que se est\u00e1n utilizando actualizaciones ficticias del navegador Chrome para Android como se\u00f1uelo para eliminar el troyano bancario Cerberus. Campa\u00f1as similares que distribuyen aplicaciones falsas de Telegram a trav\u00e9s de sitios web falsos (“telegroms[.]Tambi\u00e9n se ha observado que los usuarios de icu distribuyen otro malware para Android denominado SpyMax.<\/p>\n

Una vez instalada, la aplicaci\u00f3n solicita al usuario que habilite los servicios de accesibilidad, lo que le permite recopilar pulsaciones de teclas, ubicaciones precisas e incluso la velocidad a la que se mueve el dispositivo. Luego, la informaci\u00f3n recopilada se comprime y se exporta a un servidor C2 codificado.<\/p>\n

“SpyMax es una herramienta de administraci\u00f3n remota (RAT) que tiene la capacidad de recopilar informaci\u00f3n personal\/privada del dispositivo infectado sin el consentimiento del usuario y la env\u00eda a un actor de amenazas remoto”, K7 Security Labs dicho<\/a>. “Esto permite a los actores de amenazas controlar los dispositivos de las v\u00edctimas, lo que afecta la confidencialidad y la integridad de la privacidad y los datos de la v\u00edctima”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n