¿La pantalla se apagó de repente? Es Medusa husmeando en sus cuentas bancarias

El troyano bancario Medusa para Android, también conocido como TangleBot, ha vuelto a aparecer en el radar de los investigadores después de casi un año de inactividad. Se han detectado nuevas campañas que lo utilizan en países como Francia, Italia, EE. UU., Canadá, España, Reino Unido y Turquía.

La actividad de Medusa se ha observado desde mayo de este año. Las nuevas versiones del troyano son más compactas, requieren menos permisos y tienen nuevas funciones para iniciar transacciones directamente desde el dispositivo infectado.

El troyano Medusa se descubrió por primera vez en 2020 como una operación MaaS (malware-as-a-service). Proporciona a los atacantes capacidades para registrar pulsaciones de teclas, controlar la pantalla y manipular SMS. A pesar de la similitud en el nombre, este troyano no está relacionado con los grupos homónimos dedicados al ransomware y los ataques DDoS.

Los investigadores de Cleafy, una empresa especializada en la detección de fraudes en línea, informaron sobre nuevas variantes de Medusa. Son más ligeras, requieren menos permisos e incluyen funciones como superposición de pantalla completa y captura de pantalla.

Cleafy descubrió 24 campañas maliciosas que utilizan el troyano y las atribuyó a cinco botnets diferentes (UNKN, AFETZEDE, ANAKONDA, PEMBE y TONY). UNKN, por ejemplo, es operado por un grupo separado de ciberdelincuentes que se dirige a países europeos, particularmente Francia, Italia, España y el Reino Unido. Recientemente, los ataques han utilizado aplicaciones falsas, como un navegador Chrome falso, una aplicación de conexión 5G y una aplicación de streaming falsa llamada 4K Sports.

Cleafy señala que todas las campañas y botnets son controladas por una infraestructura central de Medusa, que obtiene dinámicamente las URL de los servidores C2 de perfiles públicos en redes sociales.

Los autores de Medusa han reducido el número de permisos solicitados para levantar menos sospechas entre las víctimas, pero aún requieren acceso a los servicios de accesibilidad de Android. Además, el troyano todavía tiene acceso a la lista de contactos de la víctima y a la función de envío de SMS, que es un método clave para propagar la amenaza.

Según el análisis de Cleafy, se eliminaron 17 comandos de la nueva versión del troyano y se agregaron 5 nuevos, entre ellos:

1. destroyo: eliminar una aplicación específica;
2. permdrawover: solicitar permiso para «Aparecer sobre otras aplicaciones»;
3. setoverlay: superponer una pantalla negra;
4. take_scr: crear una captura de pantalla;
5. update_sec: actualizar el secreto del usuario.

El comando «setoverlay» es particularmente importante, ya que permite a los atacantes realizar acciones engañosas, como crear la apariencia de un dispositivo bloqueado para enmascarar la actividad maliciosa, lo que funciona perfectamente con las pantallas OLED que no emiten luz al mostrar píxeles negros.

La nueva capacidad de captura de pantalla proporciona a los atacantes vías adicionales para robar información confidencial de los dispositivos infectados. La operación Medusa continúa expandiéndose y volviéndose más sigilosa, lo que podría llevar a un mayor número de víctimas.

Aunque Cleafy aún no ha observado aplicaciones falsas en Google Play, con el aumento de ciberdelincuentes que utilizan MaaS, las estrategias de distribución se volverán cada vez más diversas y sofisticadas.

Para protegerse contra Medusa y amenazas similares, se debe tener cuidado al instalar aplicaciones y verificar cuidadosamente los permisos solicitados. Evite hacer clic en enlaces sospechosos en los mensajes y tenga especial cuidado con las aplicaciones que requieren acceso a las funciones de accesibilidad de Android. Seguir estas reglas de higiene digital reducirá significativamente el riesgo de ser víctima de troyanos bancarios y otro malware.