Nuova variante di Trojan Android prende di mira gli utenti bancari

I ricercatori di cybersecurity del team Cleafy Threat Intelligence hanno scoperto una nuova variante del trojan bancario Medusa che è tornato sui dispositivi Android dopo essere sfuggito alla rilevazione per quasi un anno.

È stata avvistata in nuove campagne per prendere di mira gli utenti in Francia, Italia, Stati Uniti, Canada, Spagna, Regno Unito e Turchia.

Scoperto nel 2020, Medusa (noto anche come TangleBot) è una famiglia di malware sofisticata con capacità di Remote Access Trojan (RAT).

È ora riemerso con cambiamenti significativi, tra cui keylogging, controlli dello schermo e la capacità di leggere e scrivere messaggi SMS.

Queste capacità consentono agli attori della minaccia (TA) di eseguire una delle forme più rischiose di frode bancaria: On-Device Fraud (ODF).

Il team di Threat Intelligence di Cleafy ha scoperto la nuova variante del trojan bancario Medusa mentre monitorava le campagne di frode alla fine di maggio 2024.

Hanno osservato un aumento delle installazioni di un’app precedentemente sconosciuta chiamata “4K Sports”, che mostrava caratteristiche che non si allineavano perfettamente con le famiglie di malware conosciute.

Le recenti scoperte mostrano alcune discrepanze tra i nuovi campioni di Medusa e quelli precedentemente noti, inclusi un set di permessi leggero e nuove funzionalità, come la capacità di visualizzare sovrapposizioni a schermo intero e disinstallazione remota delle applicazioni.

Inizialmente mirato a istituzioni finanziarie turche, Medusa ha rapidamente ampliato il suo raggio d’azione entro il 2022, lanciando campagne importanti in Nord America e Europa. Le sue capacità RAT consentono agli attori della minaccia di controllare completamente i dispositivi compromessi utilizzando VNC per la condivisione dello schermo in tempo reale e i servizi di accessibilità.

Questo facilita attacchi pericolosi come il takeover dell’account (ATO) e la frode nel sistema di trasferimento automatico (ATS).

“Questo RAT (Remote Access Trojan) concede ai TA il controllo completo dei dispositivi compromessi sfruttando VNC per la condivisione dello schermo in tempo reale e i servizi di accessibilità per l’interazione. Queste capacità forniscono ai TA la possibilità di eseguire On-Device Fraud (ODF),” hanno dichiarato i ricercatori della società di cybersecurity Cleafy in un’analisi pubblicata la settimana scorsa.

“L’ODF è uno dei tipi più pericolosi di frode bancaria poiché i trasferimenti di denaro vengono avviati dal dispositivo della vittima e possono essere adattati per approcci manuali o automatici, come il takeover dell’account (ATO) o il sistema di trasferimento automatico (ATS).”

Cleafy ha identificato cinque diverse botnet operate da diversi affiliati, ciascuna con caratteristiche separate riguardo al targeting geografico e al decoy utilizzato. Oltre alla Turchia e alla Spagna, i nuovi obiettivi includono ora anche Francia e Italia.

I ricercatori hanno anche osservato un apparente cambiamento nella strategia di distribuzione tra le campagne rilevate, con gli attori della minaccia che sperimentano “droppers” per distribuire malware tramite procedure di aggiornamento false.

Il malware coordina le sue funzionalità attraverso una connessione Web Secure Socket all’infrastruttura dell’attore della minaccia, recuperando dinamicamente l’URL del server di comando e controllo (C2) dai profili pubblici sui social media come Telegram, Twitter e ICQ per una maggiore offuscamento.

Questo recupero dinamico aumenta la sua resilienza contro i tentativi di rimozione e impiega canali di backup su queste piattaforme di social media per ulteriore ridondanza.

L’ultima variante di Medusa mostra un cambiamento strategico verso un approccio leggero, che minimizza i permessi richiesti e sfugge alla rilevazione, migliorando la sua capacità di operare inosservato per periodi prolungati.

“La combinazione di permessi ridotti, diversificazione geografica e metodi di distribuzione sofisticati sottolinea la natura in evoluzione di Medusa.

Man mano che i TA affinano le loro tattiche, gli esperti di cybersecurity e gli analisti antifrode devono rimanere vigili e adattare le loro difese per contrastare queste minacce emergenti,” hanno concluso i ricercatori.