Pesquisadores de segurança cibernética descobriram uma versão atualizada de um trojan bancário Android chamado Medusa que foi usado para segmentar usuários no Canadá, França, Itália, Espanha, Turquia, Reino Unido e EUA
As novas campanhas de fraude, observadas em maio de 2024 e ativas desde julho de 2023, manifestaram-se através de cinco botnets diferentes operadas por várias afiliadas, disse a empresa de segurança cibernética Cleafy numa análise publicada na semana passada.
As novas amostras do Medusa apresentam um “conjunto de permissões leve e novos recursos, como a capacidade de exibir uma sobreposição de tela inteira e desinstalar aplicativos remotamente”, disseram os pesquisadores de segurança Simone Mattia e Federico Valentini.
Medusa, também conhecido como TangleBot, é um malware sofisticado para Android descoberto pela primeira vez em julho de 2020, visando entidades financeiras na Turquia. Ele vem com recursos para ler mensagens SMS, registrar pressionamentos de teclas, capturar capturas de tela, gravar chamadas, compartilhar a tela do dispositivo em tempo actual e realizar transferências não autorizadas de fundos usando ataques de sobreposição para roubar credenciais bancárias.
Em fevereiro de 2022, o ThreatFabric descobriu campanhas da Medusa que aproveitavam mecanismos de entrega semelhantes aos do FluBot (também conhecido como Cabassous), mascarando o malware como aplicativos utilitários e de entrega de pacotes aparentemente inofensivos. Suspeita-se que os agentes da ameaça por trás do Trojan sejam da Turquia.
A análise mais recente da Cleafy revela não apenas melhorias no malware, mas também o uso de aplicativos dropper para disseminar o Medusa sob o disfarce de atualizações falsas. Além disso, serviços legítimos como Telegram e X são usados como resolvedores mortos para recuperar o servidor de comando e controle (C2) usado para exfiltração de dados.
Uma mudança notável é a redução no número de permissões solicitadas, num aparente esforço para diminuir as possibilities de detecção. Dito isso, ainda requer a API de serviços de acessibilidade do Android, que permite ativar furtivamente outras permissões conforme necessário e evitar levantar suspeitas do usuário.
Outra modificação é a possibilidade de definir uma sobreposição de tela preta no dispositivo da vítima para dar a impressão de que o dispositivo está bloqueado ou desligado e usá-lo como cobertura para a realização de atividades maliciosas.
Os clusters de botnet Medusa normalmente dependem de abordagens testadas e comprovadas, como phishing, para espalhar o malware. No entanto, foram observadas ondas mais recentes propagando-o através de aplicativos dropper baixados de fontes não confiáveis, ressaltando os esforços contínuos por parte dos atores da ameaça para evoluir suas táticas.
“Minimizar as permissões necessárias evita a detecção e parece mais benigno, aumentando sua capacidade de operar sem ser detectado por longos períodos”, disseram os pesquisadores. “Geograficamente, o malware está a expandir-se para novas regiões, como Itália e França, indicando um esforço deliberado para diversificar o seu conjunto de vítimas e alargar a sua superfície de ataque”.
O desenvolvimento ocorre no momento em que a Symantec revela que atualizações fictícias do navegador Chrome para Android estão sendo usadas como uma isca para eliminar o trojan bancário Cerberus. Campanhas semelhantes que distribuem aplicativos falsos do Telegram por meio de websites falsos (“telegroms(.)icu”) também foram observadas distribuindo outro malware Android chamado SpyMax.
Depois de instalado, o aplicativo solicita ao usuário que habilite os serviços de acessibilidade, permitindo coletar as teclas digitadas, localizações precisas e até mesmo a velocidade de movimento do dispositivo. As informações coletadas são então compactadas e exportadas para um servidor C2 codificado.
“SpyMax é uma ferramenta de administração remota (RAT) que tem a capacidade de coletar informações pessoais/privadas do dispositivo infectado sem o consentimento do usuário e enviá-las para um agente de ameaça remoto”, disse K7 Safety Labs. “Isso permite que os atores da ameaça controlem os dispositivos das vítimas, o que afeta a confidencialidade e a integridade da privacidade e dos dados da vítima”.
