Nueva variante del malware Medusa apuntan a Android en siete países

Iniciado por AXCESS, Junio 28, 2024, 03:49:19 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Junio 28, 2024, 03:49:19 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El troyano bancario Medusa para Android ha resurgido después de casi un año de mantener un perfil más bajo en campañas dirigidas a Francia, Italia, Estados Unidos, Canadá, España, Reino Unido y Turquía.

La nueva actividad ha sido rastreada desde mayo y se basa en variantes más compactas que requieren menos permisos y vienen con nuevas características en un intento de iniciar transacciones directamente desde el dispositivo comprometido.

También conocido como TangleBot, el troyano bancario Medusa es una operación de malware como servicio (MaaS) de Android descubierta en 2020. El malware proporciona registro de teclas, controles de pantalla y manipulación de SMS.

Aunque tiene el mismo nombre, la operación es diferente de la banda de ransomware y la botnet basada en Mirai para ataques distribuidos de denegación de servicio (DDoS).

Las campañas recientes fueron descubiertas por el equipo de inteligencia de amenazas de la empresa de gestión de fraude en línea Cleafy, quien dice que las variantes de malware son más ligeras, necesitan menos permisos en el dispositivo e incluyen superposición de pantalla completa y captura de pantalla.

Últimas campañas

La primera evidencia de las recientes variantes de Medusa data de julio de 2023, afirman los investigadores. Cleafy los observó en campañas que se basan en phishing por SMS ("smishing") para descargar el malware a través de aplicaciones cuentagotas.

Los investigadores descubrieron 24 campañas que utilizaban malware y las atribuyeron a cinco botnets distintas (UNKN, AFETZEDE, ANAKONDA, PEMBE y TONY) que entregaban aplicaciones maliciosas.

La botnet UNKN es operada por un grupo distinto de actores de amenazas, que se centran en países de Europa, en particular Francia, Italia, España y el Reino Unido.

Descripción general de las botnets y los clústeres de Medusa
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Las aplicaciones de cuentagotas recientes utilizadas en esos ataques incluyen un navegador Chrome falso, una aplicación de conectividad 5G y una aplicación de transmisión falsa llamada 4K Sports.

Dado que el campeonato de la UEFA EURO 2024 está actualmente en marcha, la elección de la aplicación de transmisión de deportes 4K como cebo parece oportuna.

Cleafy comenta que todas las campañas y botnets son manejadas por la infraestructura central de Medusa, que recupera dinámicamente las URL para el servidor de comando y control (C2) de los perfiles públicos de redes sociales.

Recuperar direcciones C2 de canales encubiertos
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Nueva variante de Medusa

Los autores del malware Medusa han optado por reducir su huella en los dispositivos comprometidos y ahora solicitan solo un pequeño conjunto de permisos, pero aún requieren los servicios de accesibilidad de Android.

Además, el malware conserva su capacidad de acceder a la lista de contactos de la víctima y enviar SMS, un método de distribución de claves.

Comparación de permisos solicitados
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El análisis de Cleafy muestra que los autores del malware eliminaron 17 comandos de la versión anterior del malware y agregaron cinco nuevos:

 destroyo: desinstalar una aplicación específica
 permdrawover: solicita permiso para "Dibujar sobre"
 setoverlay: establece una superposición de pantalla negra
 take_scr: tomar una captura de pantalla
 update_sec: actualiza el secreto del usuario

El comando 'setoverlay' es digno de mención ya que permite a atacantes remotos realizar acciones engañosas como hacer que el dispositivo parezca bloqueado/apagado para enmascarar actividades ODF maliciosas que ocurren en segundo plano.

Superposición de pantalla negra en acción
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La nueva capacidad de realizar capturas de pantalla también es una adición importante, ya que brinda a los actores de amenazas una nueva forma de robar información confidencial de dispositivos infectados.

En general, la operación del troyano bancario móvil Medusa parece ampliar su alcance y volverse más sigilosa, sentando las bases para una implementación más masiva y un mayor número de víctimas.

Aunque Cleafy aún no ha observado ninguna de las aplicaciones de cuentagotas en Google Play, a medida que aumenta el número de ciberdelincuentes que se unen al MaaS, las estrategias de distribución seguramente se diversificarán y se volverán más sofisticadas.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario