Investigadores de ciberseguridad han identificado nuevas campañas de phising, con uso de malware bancario, activas desde julio de 2023 y creciendo su actividad hasta la actualidad, este estudio se han llevado a cabo a través de cinco botnets diferentes operadas por diversos grupos cbercriminales.
La muestras analizadas se centran en usuarios de Canadá, Francia, Italia, España, Turquía, Reino Unido y Estados Unidos.
Las nuevas muestras de Medusa presentan un conjunto de permisos más liviano y nuevas características, como la capacidad de mostrar una superposición de pantalla completa y desinstalar aplicaciones de forma remota, según explicaron los investigadores de seguridad Simone Mattia y Federico Valentini, miembros de la firma de ciberseguridad Cleafy.
Medusa, también conocido como TangleBot, es un malware sofisticado para Android descubierto por primera vez en julio de 2020 y dirigido a entidades financieras en Turquía. Sus capacidades incluyen la suite habitual de técnicas del momento para realizar fraude mediante ataques de superposición para robar credenciales bancarias. En febrero de 2022, ThreatFabric descubrió campañas de Medusa que utilizaban mecanismos de entrega similares a los de FluBot (también conocido como Cabassous), disfrazando el malware como aplicaciones aparentemente inofensivas de entrega de paquetes y utilidades.
El último análisis de Cleafy revela no solo mejoras en el malware, sino también el uso de aplicaciones dropper para difundir Medusa bajo la apariencia de falsas actualizaciones. Además, servicios legítimos como Telegram y X se utilizan como resolutores de punto muerto para recuperar el servidor de comando y control (C2) utilizado para la exfiltración de datos.
Un cambio notable es la reducción en el número de permisos solicitados, en un aparente esfuerzo por disminuir las posibilidades de detección. Dicho esto, aún requiere la API de servicios de accesibilidad de Android, lo que le permite habilitar otros permisos de manera encubierta según sea necesario y evitar levantar sospechas entre los usuarios.
Otra modificación es la capacidad de establecer una superposición de pantalla negra en el dispositivo de la víctima para dar la impresión de que el dispositivo está bloqueado o apagado, y utilizar esto como cobertura para llevar a cabo actividades maliciosas.
Los clusters de botnets de Medusa suelen depender de enfoques probados como el phishing para propagar el malware. Sin embargo, se ha observado que las nuevas oleadas lo propagan a través de aplicaciones dropper descargadas de fuentes no confiables, subrayando los esfuerzos continuos por parte de los actores de amenazas para evolucionar sus tácticas.
«Minimizar los permisos requeridos evade la detección y parece más benigno, mejorando su capacidad para operar sin ser detectado durante períodos prolongados».
Señalaron los investigadores.
«Geográficamente, el malware se está expandiendo a nuevas regiones, como Italia y Francia, lo que indica un esfuerzo deliberado por diversificar su grupo de víctimas y ampliar su superficie de ataque».
Este desarrollo se produce cuando Symantec reveló que se están utilizando falsas actualizaciones del navegador Chrome para Android como señuelo para desplegar el troyano bancario Cerberus. También se han observado campañas similares distribuyendo aplicaciones falsas de Telegram a través de sitios web fraudulentos, distribuyendo otro malware para Android llamado SpyMax.
«SpyMax es una herramienta de administración remota (RAT) que tiene la capacidad de recopilar información personal/privada del dispositivo infectado sin el consentimiento del usuario y enviarla a un actor de amenazas remoto». «Esto permite a los actores de amenazas controlar los dispositivos de las víctimas, lo que afecta la confidencialidad e integridad de la privacidad y los datos de la víctima».
dijo K7 Security Labs.
Una vez instalada, la aplicación solicita al usuario habilitar los servicios de accesibilidad, lo que le permite recopilar pulsaciones de teclas, ubicaciones precisas e incluso la velocidad a la que se mueve el dispositivo. La información recopilada se comprime y se exporta a un servidor C2 codificado.
Más información:
Medusa Reborn: A New Compact Variant Discovered https://www.cleafy.com/cleafy-labs/medusa-reborn-a-new-compact-variant-discovered
ThreatFabric post https://x.com/ThreatFabric/status/1285144962695340032
New Medusa Android Trojan Targets Banking Users Across 7 Countries https://thehackernews.com/2024/06/new-medusa-android-trojan-targets.html
SpyMax – An Android RAT targets Telegram Users https://labs.k7computing.com/index.php/spymax-an-android-rat-targets-telegram-users/
Koodous post https://x.com/koodous_project/status/1806695569932365902
Koodous analysis https://koodous.com/apks/676024a745fac0396a2e9fadf046a5c7f3548bd801e5f3d7030adf5f0596bcd7/general-information
Koodous analysis https://koodous.com/apks/80852bf1df63b18b6845e0d4f703a1a0cb3360669dc31c9c04718e93591be865/general-information
La entrada España en la lista de paises afectados por las nuevas campañas de Malware Bancario, Medusa, SpyMax y Cerberus se publicó primero en Una al Día.