Nouvelle variante de Trojan Android cible les utilisateurs bancaires

Les chercheurs en cybersécurité de l’équipe Cleafy Threat Intelligence ont découvert une nouvelle variante du trojan bancaire Medusa qui est réapparue sur les appareils Android après avoir échappé à la détection pendant près d’un an.

Elle a été repérée dans de nouvelles campagnes visant des utilisateurs en France, en Italie, aux États-Unis, au Canada, en Espagne, au Royaume-Uni et en Turquie.

Découvert en 2020, Medusa (également connu sous le nom de TangleBot) est une famille de logiciels malveillants sophistiquée avec des capacités de Trojan d’accès à distance (RAT).

Elle a maintenant réémergé avec des changements significatifs, y compris l’enregistrement des touches, le contrôle de l’écran et la capacité de lire et d’écrire des messages SMS.

Ces capacités permettent aux acteurs de la menace (TAs) d’effectuer l’une des formes de fraude bancaire les plus risquées : la fraude sur appareil (ODF).

L’équipe Threat Intelligence de Cleafy a découvert la nouvelle variante du trojan bancaire Medusa tout en surveillant les campagnes de fraude à la fin mai 2024.

Ils ont observé une augmentation des installations d’une application auparavant inconnue appelée « 4K Sports », qui présentait des caractéristiques ne s’alignant pas parfaitement avec les familles de logiciels malveillants connus.

Les découvertes récentes montrent certaines divergences entre les nouveaux échantillons de Medusa et ceux précédemment connus, y compris un ensemble de permissions léger et de nouvelles fonctionnalités, telles que la capacité d’afficher des superpositions en plein écran et de désinstaller des applications à distance.

Ciblant initialement les institutions financières turques, Medusa a rapidement élargi son champ d’action d’ici 2022, lançant des campagnes majeures en Amérique du Nord et en Europe. Ses capacités RAT permettent aux acteurs de la menace de contrôler complètement les appareils compromis en utilisant VNC pour le partage d’écran en temps réel et les services d’accessibilité.

Cela facilite des attaques dangereuses telles que la prise de contrôle de compte (ATO) et la fraude au système de transfert automatique (ATS).

« Ce RAT (Trojan d’accès à distance) accorde aux TAs un contrôle total des appareils compromis en exploitant VNC pour le partage d’écran en temps réel et les services d’accessibilité pour l’interaction. Ces capacités permettent aux TAs d’effectuer une fraude sur appareil (ODF) », ont déclaré les chercheurs de la société de cybersécurité Cleafy dans une analyse publiée la semaine dernière.

« L’ODF est l’un des types de fraude bancaire les plus dangereux, car les virements sont initiés depuis l’appareil de la victime et peuvent être adaptés pour des approches manuelles ou automatiques, telles que la prise de contrôle de compte (ATO) ou le système de transfert automatique (ATS). »

Cleafy a identifié cinq botnets différents opérés par plusieurs affiliés, chacun démontrant des caractéristiques distinctes concernant le ciblage géographique et le leurre utilisé. En plus de la Turquie et de l’Espagne, les nouvelles cibles incluent désormais également la France et l’Italie.

Les chercheurs ont également observé un changement apparent dans la stratégie de distribution parmi les campagnes détectées, les acteurs de la menace expérimentant des « dropper » pour distribuer des logiciels malveillants via de fausses procédures de mise à jour.

Le logiciel malveillant coordonne ses fonctionnalités via une connexion Web Secure Socket à l’infrastructure de l’acteur de la menace, récupérant dynamiquement l’URL du serveur de commande et de contrôle (C2) à partir de profils de médias sociaux publics comme Telegram, Twitter et ICQ pour une obfuscation améliorée.

Cette récupération dynamique augmente sa résilience contre les tentatives de suppression et utilise des canaux de secours sur ces plateformes de médias sociaux pour une redondance supplémentaire.

La dernière variante de Medusa affiche un changement stratégique vers une approche légère, minimisant les permissions requises et échappant à la détection, améliorant sa capacité à fonctionner sans être détecté pendant de longues périodes.

« La combinaison de permissions réduites, de diversification géographique et de méthodes de distribution sophistiquées souligne la nature évolutive de Medusa.

Alors que les TAs affinent leurs tactiques, les experts en cybersécurité et les analystes anti-fraude doivent rester vigilants et adapter leurs défenses pour contrer ces menaces émergentes », ont conclu les chercheurs.