Medusa, un troyano bancario identificado por primera vez en 2020, ha regresado con algunas actualizaciones nuevas que lo hacen más amenazador. También se dice que la nueva variante del malware se dirige a más regiones que la versión original. Una empresa de ciberseguridad ha detectado el troyano activo en Canadá, Francia, Italia, España, Turquía, Reino Unido y Estados Unidos. Medusa ataca principalmente el sistema operativo Android de Google, poniendo así en peligro a los propietarios de teléfonos inteligentes. Al igual que otros troyanos bancarios, ataca aplicaciones bancarias en dispositivos e incluso puede cometer fraude en dispositivos.
Descubierta una nueva variante del troyano bancario Medusa
Empresa de ciberseguridad Cleafy informe que en mayo se descubrió una nueva campaña de fraude que involucraba al troyano bancario Medusa, después de casi un año sin ser detectada. Medusa es un tipo de TangleBot: malware de Android que puede infectar dispositivos y dar a los atacantes un amplio control sobre ellos. Aunque puede usarse para robar información personal y espiar a individuos, Medusa, como troyano bancario, ataca principalmente aplicaciones bancarias y roba dinero de las víctimas.
La versión original de Medusa está equipada con capacidades avanzadas. Por ejemplo, tiene capacidades de troyano de acceso remoto (RAT) que le permiten otorgar a los atacantes control de la pantalla y la capacidad de leer y escribir SMS. También cuenta con un registrador de teclas y la combinación le permite llevar a cabo uno de los escenarios de fraude más peligrosos: el fraude en el dispositivo, según la empresa.
Sin embargo, se dice que esta nueva variante es más peligrosa. La empresa de ciberseguridad descubrió que 17 comandos presentes en el antiguo malware fueron eliminados en el último troyano. Esto se hace para minimizar los requisitos de permisos en los archivos empaquetados, reduciendo así las sospechas. Otra mejora es poder establecer una capa de pantalla negra en el dispositivo atacado, lo que puede hacer que los usuarios piensen que el dispositivo está bloqueado o apagado, mientras el troyano lleva a cabo sus actividades maliciosas.
Según se informa, los actores de amenazas también están utilizando nuevos mecanismos de entrega para infectar dispositivos. Anteriormente, la distribución se realizaba mediante enlace SMS. Pero ahora, las aplicaciones dropper (aplicaciones que parecen legítimas pero que propagan malware una vez instaladas) se utilizan para instalar Medusa bajo la apariencia de actualizaciones. Sin embargo, el informe destaca que los autores de malware no han podido implementar Medusa a través de Google Play Store.
Una vez instalada, la aplicación muestra un mensaje pidiendo al usuario que habilite los servicios de accesibilidad para recopilar datos de sensores y pulsaciones de teclas. Luego, los datos se comprimen y se exportan al servidor C2 codificado. Una vez que se recopila suficiente información, los actores de amenazas pueden utilizar el acceso remoto para tomar el control del dispositivo y cometer fraude financiero.
Se recomienda a los usuarios de Android que no hagan clic en URL compartidas mediante SMS, aplicaciones de mensajería o plataformas de redes sociales por remitentes desconocidos. También deben tener cuidado al descargar aplicaciones de fuentes no confiables o simplemente usar Google Play Store para descargar y actualizar aplicaciones.
