Medusa Mobile Malware

O Trojan bancário Medusa ressurgiu depois de quase um ano mantendo um perfil discreto, visando países como França, Itália, Estados Unidos, Canadá, Espanha, Reino Unido e Turquia. Esta atividade renovada, monitorizada desde maio, envolve variantes simplificadas que exigem menos permissões e a introdução de novas funcionalidades destinadas a iniciar transações diretamente a partir de dispositivos comprometidos.

Também conhecido como TangleBot, o Trojan bancário Medusa é um malware como serviço (MaaS) Android descoberto em 2020. Este malware oferece recursos como keylogging, manipulação de tela e controle de SMS. Apesar de compartilhar o mesmo nome, esta operação é distinta do grupo de ransomware e da botnet baseada em Mirai, conhecida por ataques distribuídos de negação de serviço (DDoS).

Campanhas Ameaçadoras que Implantam o Medusa Mobile Ma;ware

Os primeiros avistamentos das variantes mais recentes da Medusa remontam a julho de 2023, quando os investigadores as observaram em campanhas que aproveitavam o phishing de SMS ('smishing') para distribuir malware através de aplicações dropper. Foram identificadas um total de 24 campanhas que empregam estas variantes, ligadas a cinco botnets distintos (UNKN, AFETZEDE, ANAKONDA, PEMBE e TONY), cada um responsável pela entrega de aplicações prejudiciais.

A botnet UNKN é operada por um grupo específico de agentes de ameaças focados em atingir países europeus, particularmente França, Itália, Espanha e Reino Unido. Os aplicativos dropper recentes usados nesses ataques incluem:

• Um navegador Chrome falsificado.
• Um suposto aplicativo de conectividade 5G.
• Um aplicativo de streaming falso chamado 4K Sports.

A escolha da aplicação 4K Sports como isca coincide com o campeonato UEFA EURO 2024 em curso, tornando-a uma isca oportuna.

Os especialistas observam que todas essas campanhas e botnets são gerenciadas através da infraestrutura central da Medusa, que recupera dinamicamente URLs de servidores de Comando e Controle (C2) de perfis de mídia social acessíveis ao público.

Novas Modificações nas Versões do Medusa Mobile Malware

Os criadores do malware Medusa optaram por minimizar o seu impacto nos dispositivos comprometidos, reduzindo o número de permissões necessárias, embora ainda necessite dos Serviços de Acessibilidade do Android. Apesar desta redução, o malware mantém a sua capacidade de aceder à lista de contactos da vítima e enviar mensagens SMS, o que continua a ser um método crítico para a sua distribuição.

A análise revela que os autores do malware eliminaram 17 comandos de sua iteração anterior e introduziram cinco novos:

• Destroyo: desinstale um aplicativo específico
• Permdrawover: solicitar permissão de 'drawing over'
• Setoverlay: aplique uma sobreposição de tela preta
• Take_scr: captura uma captura de tela
• Update_sec: atualiza o segredo do usuário

Particularmente preocupante é o comando “setoverlay”, que permite que invasores remotos executem manobras enganosas, como exibir uma tela bloqueada ou desligada, para ocultar atividades ameaçadoras, como transferências não autorizadas de fundos que ocorrem em segundo plano.

A capacidade recém-adicionada de capturar capturas de tela representa uma melhoria significativa, fornecendo aos agentes de ameaças um novo método para extrair informações confidenciais de dispositivos comprometidos.

Os Operadores do Medusa estão Expandindo O Seu Foco

A operação do Trojan bancário Medusa parece estar ampliando seu foco e adotando táticas mais furtivas, abrindo caminho para implantação em maior escala e um número maior de vítimas. Embora os investigadores ainda não tenham identificado nenhuma das aplicações dropper no Google Play, a crescente participação dos cibercriminosos no Malware-as-a-Service (MaaS) sugere que as estratégias de distribuição provavelmente se tornarão mais diversificadas e sofisticadas.