Cleafy, empresa con sede en Milán especializada en la lucha contra el fraude online, ha descubierto nuevos rastros de Medusa, un temible troyano bancario dirigido a teléfonos inteligentes Android. Como explica la investigación de Cleafy, la aparición de Medusa se remonta a 2020. Ese año, el malware se ofreció mediante suscripción a través de una oferta de “Malware como servicio” (MaaS). Este tipo de oferta permite a los ciberdelincuentes alquilar el acceso a malware por una tarifa.
También conocido como Tanglebot, el virus ha permanecido inactivo desde el verano pasado. Ahora está regresando con ataques crecientes en países como Francia, Italia, Estados Unidos, Canadá, España, Reino Unido y Turquía. Esta es la primera vez que se identifica a Medusa en ataques en Francia e Italia, según el informe.
Lea también: Más del 50% de los teléfonos inteligentes Android están amenazados por el malware Rafel RAT
Una nueva versión sigilosa de Medusa
Los investigadores de Cleafy explican que han observado “Nuevas campañas de fraude con el caballo de Troya” Medusa en mayo de 2024. El virus estuvo involucrado en 24 campañas diferentes basándose en ataques de phishing por SMS. Estas operaciones consistieron en difundir aplicaciones maliciosas a través de mensajes fraudulentos. Las aplicaciones contenían malware con cuentagotas. Este software sólo está diseñado para instalar otros virus en los teléfonos inteligentes de las víctimas. Al final de la operación, se instaló Medusa en el dispositivo.
Según Cleafy, el malware evolucionado significativamente desde sus últimas hazañas de armas. Los expertos han observado “cambios significativos” en el funcionamiento del virus. La llegada de “nuevos afiliados” usando el software “Probablemente impulsó a los desarrolladores a crear variantes menos detectables, potencialmente para probar su confiabilidad en regiones geográficas previamente inexploradas”.. Por eso Medusa pide mucho menos permisos de Android cuando se instale solo en 2023. Esta precaución permite a los piratas informáticos pasar desapercibidos. Sin embargo, el troyano aún requiere acceso a los servicios de accesibilidad de Android. Estas configuraciones están diseñadas para ayudar a las personas con discapacidad visual a usar su dispositivo. Sin embargo, muchas aplicaciones se aprovechan de esto para robar datos de los usuarios. Además, Medusa sigue solicitando acceso al directorio y a los mensajes SMS.
“Al reducir la cantidad de permisos, el malware se vuelve menos visible durante el escaneo inicial, lo que potencialmente elude los controles de seguridad automatizados y las inspecciones manuales”.explica Cleafy.
El malware ahora tiene nuevas características, como la capacidad de tomar capturas de pantalla sin el conocimiento del usuario o para superponer una ventana ficticia encima de una aplicación. Estas tácticas forman parte del clásico arsenal de troyanos bancarios. Una vez infiltrada en el teléfono de los objetivos, Medusa hará todo lo posible para apoderarse de los datos bancarios. Con esta información, los piratas informáticos pueden ingresar a su cuenta para robarle.
Francia en el visor
Para distribuir los mensajes SMS fraudulentos en el origen del ciberataque, los ciberdelincuentes se basaron en un total de cinq botnets. Después de la investigación, Cleafy se dio cuenta de que los ataques contra Francia fueron orquestados por y la botnet UNKN. Los hackers aparentemente han desarrollado “campañas específicas”para atrapar a los franceses. Esta botnet está operada por una banda de piratas informáticos que se dirigen principalmente a países europeos, especialmente Francia, Italia, España y Reino Unido. La llegada de Medusa a Francia se produce en un momento en el que el país ya sufre una ola continua de ciberataques.
Para no perderte ninguna novedad de 01net, síguenos en Google News y WhatsApp.
Fuente :
limpio
