Malware mobile Medusa

Il trojan bancario Medusa è riemerso dopo quasi un anno in cui ha mantenuto un profilo più basso, prendendo di mira paesi tra cui Francia, Italia, Stati Uniti, Canada, Spagna, Regno Unito e Turchia. Questa rinnovata attività, monitorata da maggio, prevede varianti semplificate che richiedono meno autorizzazioni e l'introduzione di nuove funzionalità volte ad avviare transazioni direttamente da dispositivi compromessi.

Chiamato anche TangleBot, il trojan bancario Medusa è un Malware-as-a-Service (MaaS) Android scoperto nel 2020. Questo malware offre funzionalità come keylogging, manipolazione dello schermo e controllo degli SMS. Nonostante condivida lo stesso nome, questa operazione è distinta dal gruppo ransomware e dalla botnet basata su Mirai nota per gli attacchi Distributed Denial-of-Service (DDoS).

Campagne minacciose che diffondono il malware Medusa Mobile

I primi avvistamenti delle ultime varianti di Medusa risalgono al luglio 2023, quando i ricercatori le osservarono in campagne che sfruttavano il phishing via SMS ("smishing") per distribuire malware tramite applicazioni dropper. Sono state identificate un totale di 24 campagne che utilizzano queste varianti, collegate a cinque distinte botnet (UNKN, AFETZEDE, ANAKONDA, PEMBE e TONY), ciascuna responsabile della distribuzione di applicazioni dannose.

La botnet UNKN è gestita da un gruppo specifico di autori di minacce focalizzati nel prendere di mira i paesi europei, in particolare Francia, Italia, Spagna e Regno Unito. Le recenti applicazioni dropper utilizzate in questi attacchi includono:

• Un browser Chrome contraffatto.
• Una presunta applicazione di connettività 5G.
• Una falsa applicazione di streaming denominata 4K Sports.

La scelta dell'applicazione 4K Sports come esca coincide con il campionato UEFA EURO 2024 in corso, rendendola un'esca tempestiva.

Gli esperti notano che tutte queste campagne e botnet sono gestite attraverso l'infrastruttura centrale di Medusa, che recupera dinamicamente gli URL dei server Command-and-Control (C2) dai profili dei social media accessibili pubblicamente.

Nuove modifiche nelle versioni del malware Medusa

I creatori del malware Medusa hanno deciso di minimizzarne l'impatto sui dispositivi compromessi riducendo il numero di autorizzazioni richieste, sebbene necessiti comunque dei servizi di accessibilità di Android. Nonostante questa riduzione, il malware conserva la capacità di accedere all'elenco dei contatti della vittima e di inviare messaggi SMS, che rimane un metodo fondamentale per la sua distribuzione.

L'analisi rivela che gli autori del malware hanno eliminato 17 comandi dalla precedente iterazione introducendone cinque nuovi:

• Destroyo: disinstalla un'applicazione specifica
• Permdrawover: richiedi l'autorizzazione 'Drawing Over'
• Setoverlay: applica una sovrapposizione dello schermo nero
• Take_scr: cattura uno screenshot
• Update_sec: aggiorna il segreto dell'utente

Di particolare preoccupazione è il comando "setoverlay", che consente agli aggressori remoti di eseguire manovre ingannevoli come la visualizzazione di uno schermo bloccato o spento per oscurare attività minacciose come trasferimenti di fondi non autorizzati che si verificano in background.

La nuova funzionalità aggiunta per acquisire screenshot rappresenta un miglioramento significativo, fornendo agli autori delle minacce un nuovo metodo per estrarre informazioni sensibili dai dispositivi compromessi.

Gli operatori di Medusa stanno espandendo la loro attenzione

L’operazione Trojan bancaria mobile Medusa sembra ampliare il suo raggio d’azione e adottare tattiche più furtive, aprendo la strada a un’implementazione su larga scala e a un numero maggiore di vittime. Sebbene i ricercatori non abbiano ancora identificato nessuna delle app dropper su Google Play, la crescente partecipazione dei criminali informatici al Malware-as-a-Service (MaaS) suggerisce che le strategie di distribuzione diventeranno probabilmente più diversificate e sofisticate.