Los investigadores de ciberseguridad han detectado nuevas campañas de phishing utilizando malware bancario, activas desde julio de 2023, con un incremento en su actividad hasta la fecha. Este análisis se ha realizado a través de cinco botnets diferentes, gestionados por varios grupos cibercriminales.
Las muestras del malware Medusa, analizadas por Simone Mattia y Federico Valentini de la firma de ciberseguridad Cleafy, se dirigen a usuarios en Canadá, Francia, Italia, España, Turquía, Reino Unido y Estados Unidos. Estas versiones presentan menos permisos y nuevas funcionalidades, como la superposición de pantalla completa y la desinstalación remota de aplicaciones.
Medusa, también conocido como TangleBot, es un malware sofisticado para Android, descubierto en julio de 2020 y enfocado en entidades financieras en Turquía. Utiliza técnicas avanzadas para el fraude mediante ataques de superposición para robar credenciales bancarias. En febrero de 2022, ThreatFabric descubrió campañas de Medusa que usaban métodos de entrega similares a los de FluBot, disfrazando el malware como aplicaciones de entrega de paquetes y utilidades.
El último análisis de Cleafy revela no solo mejoras en el malware, sino también el uso de aplicaciones dropper para difundir Medusa bajo la apariencia de actualizaciones falsas. Servicios legítimos como Telegram y X se utilizan para recuperar el servidor de comando y control (C2).
Una modificación notable es la reducción en el número de permisos solicitados, lo que disminuye las posibilidades de detección. Sin embargo, sigue requiriendo la API de servicios de accesibilidad de Android para habilitar otros permisos encubiertamente.
Otra innovación es la capacidad de establecer una superposición de pantalla negra en el dispositivo de la víctima, simulando un bloqueo o apagado mientras realiza actividades maliciosas.
Los clusters de botnets de Medusa utilizan principalmente phishing para propagar el malware, aunque las nuevas oleadas también lo hacen mediante aplicaciones dropper de fuentes no confiables.
Los investigadores han observado una expansión geográfica del malware hacia nuevas regiones como Italia y Francia, indicando un esfuerzo por diversificar el grupo de víctimas y ampliar la superficie de ataque.
Este desarrollo coincide con la revelación de Symantec sobre el uso de falsas actualizaciones del navegador Chrome para Android como señuelo para desplegar el troyano bancario Cerberus. Campañas similares distribuyen aplicaciones falsas de Telegram a través de sitios web fraudulentos, propagando otro malware para Android llamado SpyMax.
SpyMax es una herramienta de administración remota (RAT) que puede recopilar información personal del dispositivo infectado sin el consentimiento del usuario y enviarla a un actor remoto, permitiendo el control del dispositivo y comprometiendo la privacidad y los datos de la víctima. Una vez instalada, la aplicación solicita habilitar los servicios de accesibilidad para recopilar pulsaciones de teclas, ubicaciones precisas y la velocidad del dispositivo, exportando la información a un servidor C2 codificado.
Fuentes:
Medusa Reborn: A New Compact Variant Discovered: https://www.cleafy.com/cleafy-labs/medusa-reborn-a-new-compact-variant-discovered
ThreatFabric post: https://x.com/ThreatFabric/status/1285144962695340032
New Medusa Android Trojan Targets Banking Users Across 7 Countries: https://thehackernews.com/2024/06/new-medusa-android-trojan-targets.html
SpyMax – An Android RAT targets Telegram Users: https://labs.k7computing.com/index.php/spymax-an-android-rat-targets-telegram-users/
Koodous post: https://x.com/koodous_project/status/1806695569932365902