El troyano bancario «Medusa» para Android ha reaparecido tras casi un año de mantener un perfil bajo en campañas dirigidas a Francia, Italia, Estados Unidos, Canadá, España, Reino Unido y Turquía.
Las campañas recientes registradas por la empresa Cleafy, utiliza variantes más compactas que requieren menos permisos y cuentan con nuevas funciones que permiten iniciar transacciones directamente desde el dispositivo comprometido.
Investigadores de Cleafy identificaron 24 campañas que utilizaban el malware, atribuyéndolas a cinco botnet’s distintas (UNKN, AFETZEDE, ANAKONDA, PEMBE y TONY), que distribuían aplicaciones maliciosas. UNKN Botnet enfocada en países europeos, especialmente Francia, Italia, España y el Reino Unido.
Cleafy menciona que todas las campañas y botnet’s son manejadas por la infraestructura central de Medusa, que obtiene dinámicamente las URL para el servidor de comando y control (C2) de perfiles públicos en redes sociales.
Los autores del malware Medusa han decidido reducir su huella en los dispositivos comprometidos, solicitando solo un pequeño conjunto de permisos, eliminaron 17 comandos de la versión anterior y añadieron cinco nuevos:
- Destructo: Desinstalar una aplicación específica
- permdrawover: Solicitar el permiso «Dibujar»
- setoverlay: Establecer una superposición de pantalla negra. (hace que el dispositivo parezca bloqueado/apagado para ocultar actividades maliciosas en segundo plano)
- take_scr: Tomar una captura de pantalla
- update_sec: Actualizar el secreto de usuario
La operación del troyano bancario Medusa está ampliando su alcance de objetivos y volviéndose más sigilosa.
Fuente:
New Medusa malware variants target Android users in seven countries
Medusa Reborn: A New Compact Variant Discovered | Cleafy Labs
Ciberprisma - alianza por la ciberseguridad 