Nova Variante de Trojan Android Alvo de Usuários Bancários

Pesquisadores de cibersegurança da equipe de Inteligência de Ameaças da Cleafy descobriram uma nova variante do trojan bancário Medusa que retornou aos dispositivos Android após evadir a detecção por quase um ano.

Foi avistado em novas campanhas para atingir usuários na França, Itália, Estados Unidos, Canadá, Espanha, Reino Unido e Turquia.

Descoberto em 2020, o Medusa (também conhecido como TangleBot) é uma família de malware sofisticada com capacidades de Trojan de Acesso Remoto (RAT).

Agora, ele ressurgiu com mudanças significativas, incluindo registro de teclas, controles de tela e a capacidade de ler e escrever mensagens SMS.

Essas capacidades permitem que atores de ameaças (TAs) realizem uma das formas mais arriscadas de fraude bancária: Fraude no Dispositivo (ODF).

A equipe de Inteligência de Ameaças da Cleafy descobriu a nova variante do trojan bancário Medusa enquanto monitorava campanhas de fraude no final de maio de 2024.

Eles observaram um aumento nas instalações de um aplicativo anteriormente desconhecido chamado “4K Sports”, que apresentava características que não se alinhavam perfeitamente com famílias de malware conhecidas.

Descobertas recentes mostram algumas discrepâncias entre novas amostras do Medusa e as anteriormente conhecidas, incluindo um conjunto de permissões leve e novos recursos, como a capacidade de exibir sobreposições em tela cheia e desinstalação remota de aplicativos.

Inicialmente visando instituições financeiras turcas, o Medusa rapidamente expandiu seu escopo em 2022, lançando campanhas importantes na América do Norte e na Europa. Suas capacidades de RAT permitem que atores de ameaças controlem completamente dispositivos comprometidos usando VNC para compartilhamento de tela em tempo real e serviços de acessibilidade.

Isso facilita ataques perigosos como a tomada de conta (ATO) e fraude em sistemas de transferência automática (ATS).

“Este RAT (Trojan de Acesso Remoto) concede aos TAs controle total dos dispositivos comprometidos explorando o VNC para compartilhamento de tela em tempo real e serviços de acessibilidade para interação. Essas capacidades fornecem aos TAs a habilidade de realizar Fraude no Dispositivo (ODF),” disseram os pesquisadores da empresa de cibersegurança Cleafy em uma análise publicada na semana passada.

“ODF é um dos tipos mais perigosos de fraude bancária, uma vez que transferências eletrônicas são iniciadas do dispositivo da vítima e podem ser adaptadas para abordagens manuais ou automáticas, como a Tomada de Conta (ATO) ou Sistema de Transferência Automática (ATS).”

A Cleafy identificou cinco botnets diferentes operadas por vários afiliados, cada uma demonstrando características separadas em relação ao direcionamento geográfico e isca utilizada. Além da Turquia e Espanha, os novos alvos agora também incluem França e Itália.

Os pesquisadores também observaram uma aparente mudança na estratégia de distribuição entre as campanhas detectadas, com atores de ameaças experimentando “droppers” para distribuir malware via procedimentos de atualização falsos.

O malware coordena suas funcionalidades através de uma conexão Web Secure Socket com a infraestrutura do ator de ameaças, buscando dinamicamente a URL do servidor de comando e controle (C2) de perfis públicos em redes sociais como Telegram, Twitter e ICQ para maior ofuscação.

Essa recuperação dinâmica aumenta sua resiliência contra tentativas de desmantelamento e emprega canais de backup nessas plataformas de redes sociais para maior redundância.

A última variante do Medusa exibe uma mudança estratégica em direção a uma abordagem leve, que minimiza as permissões necessárias e evadiu a detecção, aumentando sua capacidade de operar indetectada por longos períodos.

“A combinação de permissões reduzidas, diversificação geográfica e métodos de distribuição sofisticados sublinha a natureza em evolução do Medusa.

À medida que os TAs refinam suas táticas, especialistas em cibersegurança e analistas antifraude devem permanecer vigilantes e adaptar suas defesas para combater essas ameaças emergentes,” concluíram os pesquisadores.