Investigadores de ciberseguridad han identificado nuevas campañas de phishing que utilizan malware bancario, activas desde julio de 2023 y en aumento hasta la actualidad. Este estudio se llevó a cabo a través de cinco botnets diferentes operadas por diversos grupos cibercriminales. Las muestras analizadas se centran en usuarios de Canadá, Francia, Italia, España, Turquía, Reino Unido y Estados Unidos.
Las nuevas muestras de Medusa presentan un conjunto de permisos más ligero y nuevas características, como la capacidad de mostrar una superposición de pantalla completa y desinstalar aplicaciones de forma remota. Estas características fueron detalladas por los investigadores de seguridad Simone Mattia y Federico Valentini, miembros de la firma de ciberseguridad Cleafy.
Medusa, también conocido como TangleBot, es un malware sofisticado para Android descubierto por primera vez en julio de 2020 y dirigido a entidades financieras en Turquía. Sus capacidades incluyen técnicas avanzadas para realizar fraudes mediante ataques de superposición para robar credenciales bancarias. En febrero de 2022, ThreatFabric descubrió campañas de Medusa que utilizaban mecanismos de entrega similares a los de FluBot, disfrazando el malware como aplicaciones aparentemente inofensivas de entrega de paquetes y utilidades.
El último análisis de Cleafy revela no solo mejoras en el malware, sino también el uso de aplicaciones dropper para difundir Medusa bajo la apariencia de falsas actualizaciones. Además, servicios legítimos como Telegram y X se utilizan como resolutores de punto muerto para recuperar el servidor de comando y control (C2) utilizado para la exfiltración de datos.
Un cambio notable es la reducción en el número de permisos solicitados, en un aparente esfuerzo por disminuir las posibilidades de detección. No obstante, aún requiere la API de servicios de accesibilidad de Android, lo que le permite habilitar otros permisos de manera encubierta según sea necesario y evitar levantar sospechas entre los usuarios.
Otra modificación es la capacidad de establecer una superposición de pantalla negra en el dispositivo de la víctima para dar la impresión de que el dispositivo está bloqueado o apagado, y utilizar esto como cobertura para llevar a cabo actividades maliciosas.
Los clusters de botnets de Medusa suelen depender de enfoques probados como el phishing para propagar el malware. Sin embargo, se ha observado que las nuevas oleadas lo propagan a través de aplicaciones dropper descargadas de fuentes no confiables, subrayando los esfuerzos continuos por parte de los actores de amenazas para evolucionar sus tácticas.
«Minimizar los permisos requeridos evade la detección y parece más benigno, mejorando su capacidad para operar sin ser detectado durante períodos prolongados», explicaron los investigadores. «Geográficamente, el malware se está expandiendo a nuevas regiones, como Italia y Francia, lo que indica un esfuerzo deliberado por diversificar su grupo de víctimas y ampliar su superficie de ataque».
Este desarrollo se produce cuando Symantec reveló que se están utilizando falsas actualizaciones del navegador Chrome para Android como señuelo para desplegar el troyano bancario Cerberus. También se han observado campañas similares distribuyendo aplicaciones falsas de Telegram a través de sitios web fraudulentos, distribuyendo otro malware para Android llamado SpyMax.
«SpyMax es una herramienta de administración remota (RAT) que tiene la capacidad de recopilar información personal/privada del dispositivo infectado sin el consentimiento del usuario y enviarla a un actor de amenazas remoto», dijo K7 Security Labs. «Esto permite a los actores de amenazas controlar los dispositivos de las víctimas, lo que afecta la confidencialidad e integridad de la privacidad y los datos de la víctima».
Una vez instalada, la aplicación solicita al usuario habilitar los servicios de accesibilidad, lo que le permite recopilar pulsaciones de teclas, ubicaciones precisas e incluso la velocidad a la que se mueve el dispositivo. La información recopilada se comprime y se exporta a un servidor C2 codificado.
Para más información:
• Medusa Reborn: A New Compact Variant Discovered
• New Medusa Android Trojan Targets Banking Users Across 7 Countries