Investigadores de ciberseguridad han identificado nuevas campañas de phising, con uso de malware bancario, activas desde julio de 2023 con una creciente actividad hasta la actualidad. Este estudio se ha llevado a cabo a través de cinco botnets diferentes liderados por diversos grupos cibercriminales.
Las muestras analizadas de Medusa se centran en usuarios de Canadá, Francia, Italia, España, Turquía, Reino Unido y Estados Unidos. Estas presentan un conjunto de permisos más liviano y nuevas características, como la capacidad de mostrar una superposición de pantalla completa y desinstalar aplicaciones de forma remota, según explicaron los investigadores de seguridad Simone Mattia y Federico Valentini, miembros de la firma de ciberseguridad Cleafy.
Medusa, también conocida como TangleBot, es un malware sofisticado para Android descubierto por primera vez en julio de 2020 y dirigido a entidades financieras en Turquía. Sus capacidades incluyen la suite habitual de técnicas del momento para realizar fraude mediante ataques de superposición para robar credenciales bancarias. En febrero de 2022, ThreatFabric descubrió campañas de Medusa que utilizaban mecanismos de entrega similares a los de FluBot (también conocido como Cabassous), disfrazando el malware como aplicaciones aparentemente inofensivas de entrega de paquetes y utilidades.
El último análisis de Cleafy revela, no solo mejoras en el malware, sino también el uso de aplicaciones dropper para difundir Medusa bajo la apariencia de falsas actualizaciones. Además, servicios legítimos como Telegram y X se utilizan como mecanismos de resolución de deadlocks para recuperar el servidor de comando y control (C2) utilizado para la extracción de datos.
Un cambio notable es la reducción en el número de permisos solicitados, en un aparente esfuerzo por disminuir las posibilidades de detección. Dicho esto, aún requiere la API de servicios de accesibilidad de Android, lo que le permite habilitar otros permisos de manera encubierta según sea necesario y evitar levantar sospechas entre los usuarios.
Otra modificación es la capacidad de establecer una superposición de pantalla negra en el dispositivo de la víctima para dar la impresión de que el dispositivo está bloqueado o apagado, y utilizar esto como cobertura para llevar a cabo actividades maliciosas.
Los clusters de botnets de Medusa suelen depender de enfoques probados como el phishing para propagar el malware. Sin embargo, se ha observado que las nuevas oleadas lo propagan a través de aplicaciones dropper descargadas de fuentes no confiables, subrayando los esfuerzos continuos por parte de los actores de amenazas para evolucionar sus tácticas.
«Minimizar los permisos requeridos evade la detección y parece más benigno, mejorando su capacidad para operar sin ser detectado durante períodos prolongados».
Señalaron los investigadores.
«Geográficamente, el malware se está expandiendo a nuevas regiones, como Italia y Francia, lo que indica un esfuerzo deliberado por diversificar su grupo de víctimas y ampliar su superficie de ataque».
Este desarrollo se produce cuando Symantec reveló que se están utilizando falsas actualizaciones del navegador Chrome para Android como señuelo para desplegar el troyano bancario Cerberus. También se han observado campañas similares distribuyendo aplicaciones falsas de Telegram a través de sitios web fraudulentos, distribuyendo otro malware para Android llamado SpyMax.
«SpyMax es una herramienta de administración remota (RAT) que tiene la capacidad de recopilar información personal/privada del dispositivo infectado sin el consentimiento del usuario y enviarla a un actor de amenazas remoto». «Esto permite a los actores de amenazas controlar los dispositivos de las víctimas, lo que afecta la confidencialidad e integridad de la privacidad y los datos de la víctima».
Dijo K7 Security Labs.
Una vez instalada, la aplicación solicita al usuario habilitar los servicios de accesibilidad, lo que le permite recopilar pulsaciones de teclas, ubicaciones precisas e incluso la velocidad a la que se mueve el dispositivo. La información recopilada se comprime y se exporta a un servidor C2 codificado.
Más información:
- Medusa Reborn: A New Compact Variant Discovered: https://www.cleafy.com/cleafy-labs/medusa-reborn-a-new-compact-variant-discovered
- ThreatFabric post: https://x.com/ThreatFabric/status/1285144962695340032
- New Medusa Android Trojan Targets Banking Users Across 7 Countries: https://thehackernews.com/2024/06/new-medusa-android-trojan-targets.html
- SpyMax – An Android RAT targets Telegram Users: https://labs.k7computing.com/index.php/spymax-an-android-rat-targets-telegram-users/
- Koodous post: https://x.com/koodous_project/status/1806695569932365902
- Koodous analysis: https://koodous.com/apks/676024a745fac0396a2e9fadf046a5c7f3548bd801e5f3d7030adf5f0596bcd7/general-information
- Koodous analysis: https://koodous.com/apks/80852bf1df63b18b6845e0d4f703a1a0cb3360669dc31c9c04718e93591be865/general-information
