Pesquisadores de cibersegurança descobriram uma versão atualizada de um trojan bancário para Android chamado Medusa, que tem sido usado para atacar usuários no Canadá, França, Itália, Espanha, Turquia, Reino Unido e nos EUA.
As novas campanhas de fraude, observadas em maio de 2024 e ativas desde julho de 2023, se manifestaram por meio de cinco diferentes botnets operados por diversos afiliados, disse a empresa de cibersegurança Cleafy em uma análise publicada na semana passada.
As novas amostras de Medusa possuem um conjunto de permissões mais enxuto e novas funcionalidades, como a capacidade de exibir uma sobreposição em tela cheia e desinstalar aplicativos remotamente, disseram os pesquisadores de segurança Simone Mattia e Federico Valentini.
Medusa, também conhecido como TangleBot, é um malware sofisticado para Android descoberto pela primeira vez em Julho de 2020, visando entidades financeiras na Turquia.
Ele vem com capacidades para ler mensagens SMS, registrar pressionamentos de teclas, capturar capturas de tela, gravar chamadas, compartilhar a tela do dispositivo em tempo real e realizar transferências de fundos não autorizadas usando ataques de overlay para roubar credenciais bancárias.
Em Fevereiro de 2022, a ThreatFabric revelou campanhas de Medusa utilizando mecanismos de entrega similares aos do FluBot (também conhecido como Cabassous), mascarando o malware como aplicativos inofensivos de entrega de pacotes e utilitários.
Suspeita-se que os atores por trás do Trojan sejam da Turquia.
A análise mais recente da Cleafy revela não apenas melhorias no malware, mas também o uso de aplicativos dropper para disseminar Medusa sob o disfarce de falsas atualizações.
Além disso, serviços legítimos como Telegram e X são usados como dead drop resolvers para recuperar o servidor de comando e controle (C2) usado para exfiltração de dados.
Uma mudança notável é a redução no número de permissões solicitadas, num esforço aparente para diminuir as chances de detecção.
Dito isso, ele ainda requer a API de serviços de acessibilidade do Android, o que lhe permite habilitar silenciosamente outras permissões conforme necessário e evitar levantar suspeitas nos usuários.
Outra modificação é a capacidade de definir uma sobreposição de tela preta no dispositivo da vítima para dar a impressão de que o dispositivo está bloqueado ou desligado, usando-o como cobertura para realizar atividades maliciosas.
Os clusters da botnet Medusa geralmente dependem de abordagens testadas e comprovadas, como phishing, para espalhar o malware.
No entanto, novas ondas foram observadas propagando-o via aplicativos dropper baixados de fontes não confiáveis, ressaltando os esforços contínuos por parte dos atores de ameaças para evoluir suas táticas.
"Minimizar as permissões requeridas evita a detecção e parece mais benigno, aprimorando sua capacidade de operar sem ser detectado por períodos prolongados", disseram os pesquisadores.
Geograficamente, o malware está se expandindo para novas regiões, como Itália e França, indicando um esforço deliberado para diversificar seu pool de vítimas e ampliar sua superfície de ataque.
Esse desenvolvimento ocorre enquanto a Symantec revelou que falsas atualizações do navegador Chrome para Android estão sendo usadas como isca para soltar o trojan bancário Cerberus.
Campanhas similares distribuindo aplicativos falsos do Telegram por meio de websites falsos ("telegroms[.]icu") também foram observadas distribuindo outro malware para Android denominado SpyMax.
Uma vez instalado, o aplicativo solicita ao usuário que habilite os serviços de acessibilidade, permitindo que ele colete pressionamentos de teclas, localizações precisas e até a velocidade com que o dispositivo está se movendo.
As informações coletadas são então comprimidas e exportadas para um servidor C2 codificado.
"SpyMax é uma ferramenta de administração remota (RAT) que tem a capacidade de coletar informações pessoais/privadas do dispositivo infectado sem consentimento do usuário e enviá-las para um ator de ameaças remoto", disse K7 Security Labs.
Isso permite que os atores de ameaças controlem dispositivos das vítimas, o que impacta a confidencialidade e a integridade da privacidade e dos dados da vítima.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...