Se dice que Medusa, el troyano bancario identificado por primera vez en 2020, ha regresado con varias actualizaciones nuevas que lo hacen aún más amenazador. También se dice que la nueva versión del malware se dirige a más regiones que la versión original. Una empresa de ciberseguridad ha descubierto un troyano activo en Canadá, Francia, Italia, España, Turquía, Reino Unido y Estados Unidos. Medusa ataca principalmente a Google Androide Este virus es uno de los virus que ataca a los sistemas operativos, lo que pone en riesgo a los propietarios de teléfonos inteligentes. Como cualquier malware bancario, apunta a aplicaciones bancarias en el dispositivo e incluso puede realizar fraudes en el dispositivo.
Descubra nuevas variantes del troyano bancario Medusa
Empresa de ciberseguridad Cleafy Informes En mayo se detectaron nuevas campañas de estafa relacionadas con el troyano bancario Medusa, después de permanecer fuera del radar durante casi un año. Medusa es un tipo de TangleBot, un malware de Android que puede infectar un dispositivo y brindar a los atacantes un amplio rango de control sobre él. Aunque puede usarse para robar información personal y espiar a individuos, Medusa, al ser un troyano bancario, ataca principalmente aplicaciones bancarias y roba dinero de las víctimas.
La versión original de Medusa estaba equipada con poderosas habilidades. Por ejemplo, tenía acceso remoto a un troyano (RAT) que le permitía darle al atacante controles de pantalla y la capacidad de leer y escribir mensajes SMS. También venía equipado con un registrador de teclas, y esta combinación le permitió llevar a cabo uno de los escenarios de fraude más peligrosos: la suplantación de dispositivos, según la empresa.
Sin embargo, se dice que la nueva variante es más peligrosa. La firma de ciberseguridad descubrió que recientemente se eliminaron 17 comandos que estaban presentes en malware más antiguo. troyanos. Esto se hizo para reducir los requisitos de permisos en el archivo empaquetado, levantando así menos sospechas. Otra mejora es que se puede configurar una pantalla negra en el dispositivo atacado, lo que puede hacer creer al usuario que el dispositivo está bloqueado o apagado, mientras el troyano lleva a cabo sus actividades maliciosas.
Según se informa, los actores de amenazas están utilizando nuevos mecanismos de entrega para infectar dispositivos. Anteriormente, estos mensajes se difundían a través de enlaces SMS. Pero ahora, las aplicaciones dropper (aplicaciones que parecen legítimas pero que propagan malware una vez instaladas) se utilizan para instalar Medusa bajo la apariencia de una actualización. Sin embargo, el informe destacó que los creadores de malware no pudieron difundir Medusa a través de Google Play Store.
Después de la instalación, la aplicación envía mensajes solicitando al usuario que habilite los servicios de accesibilidad para recopilar datos de sensores y pulsaciones de teclas. Luego, los datos se comprimen y se exportan a un servidor C2 cifrado. Una vez que se recopila suficiente información, un actor de amenazas puede utilizar el acceso remoto para tomar el control del dispositivo y cometer fraude financiero.
Se recomienda a los usuarios de Android que no hagan clic en URL compartidas mediante SMS, aplicaciones de mensajería o plataformas de redes sociales por remitentes desconocidos. También deben tener cuidado al descargar aplicaciones de fuentes no confiables, o simplemente ceñirse a Google Play Store para descargar y actualizar aplicaciones.