Programari maliciós per a mòbils de Medusa
El troià bancari Medusa ha ressorgit després de gairebé un any de mantenir un perfil més baix, dirigint-se a països com França, Itàlia, els Estats Units, el Canadà, Espanya, el Regne Unit i Turquia. Aquesta activitat renovada, controlada des del maig, implica variants simplificades que requereixen menys permisos i la introducció de noves funcionalitats destinades a iniciar transaccions directament des de dispositius compromesos.
També conegut com TangleBot, el troià bancari Medusa és un programari maliciós com a servei d'Android (MaaS) descobert el 2020. Aquest programari maliciós ofereix funcions com ara el registre de tecles, la manipulació de la pantalla i el control d'SMS. Tot i compartir el mateix nom, aquesta operació és diferent del grup de ransomware i de la botnet basada en Mirai coneguda pels atacs de denegació de servei distribuït (DDoS).
Taula de continguts
Campanyes amenaçadores amb el desplegament del programari maliciós mòbil Medusa
Els primers albiraments de les últimes variants de Medusa es remunten al juliol del 2023, quan els investigadors les van observar en campanyes que aprofitaven el phishing d'SMS ('smishing') per distribuir programari maliciós mitjançant aplicacions dropper. S'han identificat un total de 24 campanyes que utilitzen aquestes variants, vinculades a cinc botnets diferents (UNKN, AFETZEDE, ANAKONDA, PEMBE i TONY), cadascuna responsable de lliurar aplicacions nocives.
La botnet UNKN està operada per un grup específic d'actors d'amenaça centrats en els països europeus, especialment França, Itàlia, Espanya i el Regne Unit. Les aplicacions dropper recents utilitzades en aquests atacs inclouen:
- Un navegador Chrome fals.
- Una suposada aplicació de connectivitat 5G.
- Una aplicació de transmissió falsa anomenada 4K Sports.
L'elecció de l'aplicació 4K Sports com a esquer coincideix amb el campionat de la UEFA EURO 2024 en curs, la qual cosa la converteix en un reclam oportú.
Els experts assenyalen que totes aquestes campanyes i botnets es gestionen mitjançant la infraestructura central de Medusa, que recupera dinàmicament els URL del servidor Command-and-Control (C2) dels perfils de xarxes socials accessibles públicament.
Noves modificacions a les versions de programari maliciós de Medusa
Els creadors del programari maliciós Medusa han optat per minimitzar el seu impacte en els dispositius compromesos reduint el nombre de permisos que requereix, tot i que encara necessita els serveis d'accessibilitat d'Android. Malgrat aquesta reducció, el programari maliciós conserva la seva capacitat per accedir a la llista de contactes de la víctima i enviar missatges SMS, que segueix sent un mètode crític per a la seva distribució.
L'anàlisi revela que els autors de programari maliciós han eliminat 17 ordres de la seva iteració anterior mentre n'han introduït cinc de noves:
- Destroyo: desinstal·la una aplicació específica
- Permdrawover: sol·liciteu el permís "Drawing Over".
- Setoverlay: apliqueu una superposició de pantalla negra
- Take_scr: captura una captura de pantalla
- Update_sec: actualitza el secret de l'usuari
És especialment preocupant l'ordre "setoverlay", que permet als atacants remots executar maniobres enganyoses, com ara mostrar una pantalla bloquejada o apagada per ocultar activitats amenaçadores com les transferències de fons no autoritzades que es produeixen en segon pla.
La nova capacitat afegida per capturar captures de pantalla representa una millora significativa, proporcionant als actors de les amenaces un mètode nou per extreure informació sensible dels dispositius compromesos.
Els operadors de Medusa estan ampliant el seu focus
L'operació de troià de banca mòbil de Medusa sembla que està ampliant el seu enfocament i adoptant tàctiques més sigilses, obrint el camí per a un desplegament a gran escala i un major nombre de víctimes. Tot i que els investigadors encara no han identificat cap de les aplicacions dropper a Google Play, la creixent participació dels cibercriminals en Malware-as-a-Service (MaaS) suggereix que les estratègies de distribució probablement seran més diverses i sofisticades.
