Nuevas variantes del malware Medusa están atacando a usuarios en diversos países
El troyano bancario, de nombre Medusa para Android, está resurgiendo luego de un año manteniendo un perfil bajo. Las campañas dirigidas son hacia Francia, los Estados Unidos, Italia, España, Turquía y el Reino Unido.
Esta nueva actividad ha sido rastreada desde el pasado mes de mayo, basándose en variantes más compactas, las cuales requieren de menos permisos. Además, vienen con nuevas características, en un intento de iniciar transacciones de forma directa y desde el equipo comprometido.
Se le conoce también como TangleBot, el troyano bancario Medusa se trata de una operación de Malware como Servicio o MaaS de Android, descubierta en el año 2020. Dicho malware proporciona registro de teclas, controles de pantalla y manipulación de SMS. Aunque tiene el mismo nombre, la operación es diferente de la banda de ransomware y la botnet basada en Mirai para ataques distribuidos de denegación de servicio DDoS.
Las campañas maliciosas recientes han sido descubiertas por el equipo de inteligencia de amenazas de una empresa de gestión de fraudes, llamada Clearfy. Esta empresa señala que las variantes del malware son más ligeras, necesitan una cantidad mínima de permisos en los dispositivos e incluyen superposiciones de pantallas completas y de captura de pantalla.
Los expertos declaran que la primera evidencia de las variantes recientes del malware Medusa tienen un registro del mes de julio del 2023. La compañía que las ha detectado las pudo observar en campañas que se basan en el phishing por SMS o smishing, con el fin de cargar dicho malware mediante aplicaciones de descarga.
Del mismo modo, los investigadores descubrieron, al menos, 24 campañas que empleaban el malware y las atribuyeron a 5 botnets diferentes, los cuales se encargaron de distribuir las aplicaciones de índole maliciosa. Por ejemplo, el botnet UNKN está siendo operado por un grupo distinto de ciberdelincuentes, centrándose en atacar a países de Europa como Reino Unido, Francia, España o Italia.
Si quieres tener tus defensas informáticas a nivel óptimo y con equipos y tecnología de primer orden, TIC Defense tiene lo necesario para ofrecerlas. Desarrollamos herramientas, servicios y soluciones óptimas para la infraestructura informática de tu organización.
Igualmente, las aplicaciones de descarga que han sido usadas en estos ataques, incluyen un navegador Chrome falso, una aplicación de conectividad 5G y otra aplicación falsa de transmisión llamada 4K Sports. Esta última app ha sido el cebo perfecto para las víctimas, ya que muchos la descargaron cuando se jugó la UEFA Euro 2024, en Alemania.
La empresa que ha rastreado esta variante de malware manifiesta que todas las campañas y botnets son manejadas por la infraestructura central de Medusa, la cual obtiene de forma dinámica las URL del servidor de comando y control o C”, de parte de los perfiles públicos de las redes sociales.
Además, han optado por reducir su huella en los dispositivos comprometidos. Desde ahora, se enfocan en solicitar solo un pequeño conjunto de permisos, pero siguen necesitando los Servicios de Accesibilidad de Android. Como añadido, este malware conserva su capacidad de acceder a la lista de contactos de sus víctimas y enviar SMS maliciosos, convirtiéndose en un método de distribución clave.
Aunque la organización Cleafy no ha observado ninguna de las aplicaciones dropper o similares en la Google Play Store, a medida que aumenta el número de actores maliciosos que se unen al Malware como Servicio, las estrategias de distribución van a diversificarse, además de volverse más sofisticadas.