El troyano bancario Medusa, identificado por primera vez en 2020, ha vuelto con un arsenal de mejoras que lo hacen más peligroso.
Esta nueva variante amplía su alcance a más países, según una firma de ciberseguridad que detectó actividad en Canadá, Francia, Italia, España, Turquía, Reino Unido y Estados Unidos.
Medusa reaparece con nuevas habilidades
Medusa apunta principalmente a dispositivos con el sistema operativo Android de Google, poniendo en riesgo a los usuarios de smartphones. Al igual que cualquier troyano bancario, su objetivo son las aplicaciones bancarias instaladas en el dispositivo, e incluso puede ejecutar fraudes directamente en él.
La firma Cleafy, experta en ciberseguridad, descubrió en mayo nuevas campañas fraudulentas que utilizan el troyano bancario Medusa, el cual permaneció oculto casi un año.
Medusa es un tipo de TangleBot, un malware para Android que infecta dispositivos y brinda a los atacantes un amplio control sobre ellos. Si bien los TangleBots pueden robar información personal y espiar a las víctimas, Medusa, como troyano bancario, se enfoca en atacar aplicaciones bancarias y sustraer dinero.
La versión original de Medusa ya era poderosa. Por ejemplo, tenía la capacidad de troyano de acceso remoto (RAT), que permitía al atacante controlar la pantalla del dispositivo y leer y escribir mensajes SMS.
Nueva versión, nuevas estrategias
Sin embargo, la nueva variante es aún más peligrosa. La firma de ciberseguridad descubrió que se eliminaron 17 comandos del malware anterior en el nuevo troyano. Esto se hizo para minimizar los permisos necesarios en el archivo incluido, generando menos sospecha.
Otra “mejora” es su capacidad de superponer una pantalla negra en el dispositivo atacado, lo que puede hacer creer al usuario que el dispositivo está bloqueado o apagado, mientras el troyano se ejecuta.
Los ciberdelincuentes también estarían utilizando nuevos métodos de distribución para infectar dispositivos. Anteriormente, se propagaban a través de enlaces en SMS.
Este malware no ha podido ser filtrado en la Play Store
Ahora, se están usando aplicaciones dropper (aplicaciones que parecen legítimas pero que implementan el malware una vez instaladas) para instalar Medusa bajo la apariencia de una actualización. No obstante, el informe destaca que los creadores del malware no han podido implementar Medusa a través de Google Play Store.
Una vez instalada, la aplicación muestra mensajes emergentes que solicitan al usuario habilitar los servicios de accesibilidad para recopilar datos de sensores y pulsaciones de teclas.
Luego, los datos se comprimen y se envían a un servidor C2 codificado. Una vez que se ha recopilado suficiente información, el atacante puede usar el acceso remoto para tomar control del dispositivo y cometer fraude financiero.
Recomendaciones para usuarios de Android
Se recomienda a los usuarios de Android no hacer clic en enlaces compartidos a través de SMS, aplicaciones de mensajería o redes sociales por remitentes desconocidos.
También deben ser cautelosos al descargar aplicaciones de fuentes no confiables, o simplemente optar por descargar y actualizar aplicaciones desde Google Play Store.
Fuente: Cleafy