Malware móvil Medusa

El troyano bancario Medusa ha resurgido después de casi un año de mantener un perfil más bajo, apuntando a países como Francia, Italia, Estados Unidos, Canadá, España, Reino Unido y Turquía. Esta actividad renovada, monitoreada desde mayo, implica variantes simplificadas que requieren menos permisos e introducen nuevas funcionalidades destinadas a iniciar transacciones directamente desde dispositivos comprometidos.

También conocido como TangleBot, el troyano bancario Medusa es un malware como servicio (MaaS) de Android descubierto en 2020. Este malware ofrece capacidades como registro de teclas, manipulación de pantalla y control de SMS. A pesar de compartir el mismo nombre, esta operación es distinta del grupo de ransomware y de la botnet basada en Mirai , conocida por sus ataques de denegación de servicio distribuido (DDoS).

Campañas amenazantes que implementan el malware móvil Medusa

Los primeros avistamientos de las últimas variantes de Medusa se remontan a julio de 2023, cuando los investigadores las observaron en campañas que aprovechaban el phishing por SMS ('smishing') para distribuir malware a través de aplicaciones dropper. Se han identificado un total de 24 campañas que emplean estas variantes, vinculadas a cinco botnets distintas (UNKN, AFETZEDE, ANAKONDA, PEMBE y TONY), cada una de las cuales es responsable de distribuir aplicaciones dañinas.

La botnet UNKN es operada por un grupo específico de actores de amenazas centrados en países europeos, en particular Francia, Italia, España y el Reino Unido. Las aplicaciones cuentagotas recientes utilizadas en estos ataques incluyen:

• Un navegador Chrome falso.
• Una supuesta aplicación de conectividad 5G.
• Una aplicación de streaming falsa llamada 4K Sports.

La elección de la aplicación 4K Sports como cebo coincide con el campeonato de la UEFA EURO 2024 en curso, lo que la convierte en un señuelo oportuno.

Los expertos señalan que todas estas campañas y botnets se gestionan a través de la infraestructura central de Medusa, que recupera dinámicamente las URL del servidor de Comando y Control (C2) de perfiles de redes sociales de acceso público.

Nuevas modificaciones en las versiones de malware Medusa

Los creadores del malware Medusa han optado por minimizar su impacto en los dispositivos comprometidos reduciendo la cantidad de permisos que requiere, aunque aún requiere los Servicios de Accesibilidad de Android. A pesar de esta reducción, el malware conserva su capacidad de acceder a la lista de contactos de la víctima y enviar mensajes SMS, lo que sigue siendo un método crítico para su distribución.

El análisis revela que los autores del malware eliminaron 17 comandos de su versión anterior e introdujeron cinco nuevos:

• Destroyo: desinstalar una aplicación específica
• Permdrawover: solicita permiso para 'Dibujar sobre'
• Setoverlay: aplica una superposición de pantalla negra
• Take_scr: captura una captura de pantalla
• Update_sec: actualiza el secreto del usuario

De particular preocupación es el comando 'setoverlay', que permite a atacantes remotos ejecutar maniobras engañosas, como mostrar una pantalla bloqueada o apagada para ocultar actividades amenazantes como transferencias de fondos no autorizadas que ocurren en segundo plano.

La capacidad recientemente agregada para realizar capturas de pantalla representa una mejora significativa, ya que brinda a los actores de amenazas un nuevo método para extraer información confidencial de los dispositivos comprometidos.

Los operadores de Medusa están ampliando su enfoque

La operación del troyano bancario móvil Medusa parece estar ampliando su enfoque y adoptando tácticas más sigilosas, allanando el camino para una implementación a mayor escala y un mayor número de víctimas. Si bien los investigadores aún no han identificado ninguna de las aplicaciones dropper en Google Play, la creciente participación de los ciberdelincuentes en Malware-as-a-Service (MaaS) sugiere que las estrategias de distribución probablemente se volverán más diversas y sofisticadas.