Nueva variante de troyano de Android apunta a usuarios bancarios

Los investigadores de ciberseguridad del equipo de Inteligencia de Amenazas de Cleafy han descubierto una nueva variante del troyano bancario Medusa que ha regresado a los dispositivos Android después de evadir la detección durante casi un año.

Se ha observado en nuevas campañas para atacar a usuarios en Francia, Italia, Estados Unidos, Canadá, España, Reino Unido y Turquía.

Descubierto en 2020, Medusa (también conocido como TangleBot) es una familia de malware sofisticada con capacidades de troyano de acceso remoto (RAT).

Ahora ha resurgido con cambios significativos, incluyendo registro de teclas, controles de pantalla y la capacidad de leer y escribir mensajes SMS.

Esas capacidades permiten a los actores de amenazas (TAs) realizar una de las formas más arriesgadas de fraude bancario: Fraude en el Dispositivo (ODF).

El equipo de Inteligencia de Amenazas de Cleafy descubrió la nueva variante del troyano bancario Medusa mientras monitoreaba campañas de fraude a finales de mayo de 2024.

Observaron un aumento en las instalaciones de una aplicación previamente desconocida llamada “4K Sports”, que exhibía características que no se alineaban perfectamente con las familias de malware conocidas.

Los hallazgos recientes muestran algunas discrepancias entre las nuevas muestras de Medusa y las previamente conocidas, incluyendo un conjunto de permisos ligero y nuevas características, como la capacidad de mostrar superposiciones de pantalla completa y desinstalación remota de aplicaciones.

Inicialmente dirigido a instituciones financieras turcas, Medusa rápidamente amplió su alcance para 2022, lanzando campañas importantes en América del Norte y Europa. Sus capacidades de RAT permiten a los actores de amenazas controlar completamente los dispositivos comprometidos utilizando VNC para compartir pantalla en tiempo real y servicios de accesibilidad.

Esto facilita ataques peligrosos como la toma de control de cuentas (ATO) y el fraude en sistemas de transferencia automática (ATS).

“Este RAT (Troyano de Acceso Remoto) otorga a los TAs control total de los dispositivos comprometidos al explotar VNC para compartir pantalla en tiempo real y servicios de accesibilidad para la interacción. Estas capacidades proporcionan a los TAs la habilidad de realizar Fraude en el Dispositivo (ODF),” dijeron los investigadores de la firma de ciberseguridad Cleafy en un análisis publicado la semana pasada.

“ODF es uno de los tipos más peligrosos de fraude bancario, ya que las transferencias electrónicas se inician desde el dispositivo de la víctima y pueden adaptarse para enfoques manuales o automáticos, como la Toma de Control de Cuentas (ATO) o el Sistema de Transferencia Automática (ATS).”

Cleafy ha identificado cinco botnets diferentes operadas por varios afiliados, cada una demostrando características separadas respecto al objetivo geográfico y el señuelo utilizado. Además de Turquía y España, los nuevos objetivos ahora también incluyen Francia e Italia.

Los investigadores también observaron un aparente cambio en la estrategia de distribución entre las campañas detectadas, con actores de amenazas experimentando con “droppers” para distribuir malware a través de procedimientos de actualización falsos.

El malware coordina sus funcionalidades a través de una conexión Web Secure Socket a la infraestructura del actor de amenazas, recuperando dinámicamente la URL del servidor de comando y control (C2) de perfiles públicos en redes sociales como Telegram, Twitter e ICQ para una mayor ofuscación.

Esta recuperación dinámica aumenta su resistencia contra intentos de eliminación y emplea canales de respaldo en estas plataformas de redes sociales para mayor redundancia.

La última variante de Medusa muestra un cambio estratégico hacia un enfoque ligero, que minimiza los permisos requeridos y evade la detección, mejorando su capacidad para operar sin ser detectado durante períodos prolongados.

“La combinación de permisos reducidos, diversificación geográfica y métodos de distribución sofisticados subraya la naturaleza evolutiva de Medusa.

A medida que los TAs refinan sus tácticas, los expertos en ciberseguridad y los analistas antifraude deben mantenerse alerta y adaptar sus defensas para contrarrestar estas amenazas emergentes,” concluyeron los investigadores.