Els investigadors de ciberseguretat han detectat noves campanyes de pesca per correu electrònic (phishing) que utilitzen programari maliciós bancari actives des de juliol de 2023, amb un increment en la seua activitat fins a la data. Esta anàlisi s’ha realitzat a través de cinc xarxes de zombis diferents, gestionats per diversos grups cibercriminals.
Les mostres del programari maliciós Medusa, analitzades per Simone Mattia i Federico Valentini, de la firma de ciberseguretat Cleafy, es dirigixen a usuaris del Canadà, França, Itàlia, Espanya, Turquia, el Regne Unit i els Estats Units. Estes versions presenten menys permisos i noves funcionalitats, com la superposició de pantalla completa i la desinstal·lació remota d’aplicacions.
Medusa, també conegut com a TangleBot, és un programari maliciós sofisticat per a Android, descobert el juliol de 2020 i enfocat a entitats financeres a Turquia. Utilitza tècniques avançades per al frau mitjançant atacs de superposició per a robar credencials bancàries. El febrer de 2022, ThreatFabric va descobrir campanyes de Medusa que usaven mètodes d’entrega similars als de FluBot, i disfressaven el programari maliciós com si foren aplicacions de lliurament de paquets i utilitats.
L’última anàlisi de Cleafy revela no sols millores en el programari maliciós, sinó també l’ús d’aplicacions dropper (de troià de goteig) per a difondre Medusa amb l’aparença d’actualitzacions falses. Servicis legítims com Telegram i X s’utilitzen per a recuperar el servidor de comandament i control (C2).
Una modificació notable és la reducció en el nombre de permisos sol·licitats, la qual cosa disminuïx les possibilitats de detecció. No obstant això, continua requerint l’API de servicis d’accessibilitat d’Android per a habilitar altres permisos de manera encoberta.
Una altra innovació és la capacitat d’establir una superposició de pantalla negra en el dispositiu de la víctima, que simula un bloqueig o una apagada mentres realitza activitats malicioses.
Els clústers de xarxes de zombis de Medusa utilitzen principalment la pesca per correu electrònic per a propagar el programari maliciós, encara que les noves onades també ho fan mitjançant aplicacions dropper (de troià de goteig) de fonts que no són de confiança.
Fonts:
Medusa Reborn: A New Compact Variant Discovered: https://www.cleafy.com/cleafy-labs/medusa-reborn-a-new-compact-variant-discovered
ThreatFabric post: https://x.com/ThreatFabric/status/1285144962695340032
New Medusa Android Trojan Targets Banking Users Across 7 Countries: https://thehackernews.com/2024/06/new-medusa-android-trojan-targets.html
SpyMax – An Android RAT targets Telegram Users: https://labs.k7computing.com/index.php/spymax-an-android-rat-targets-telegram-users/
Koodous post: https://x.com/koodous_project/status/1806695569932365902