Le cheval de Troie bancaire Medusa pour Android est réapparu après presque un an de discrédit dans les campagnes ciblant la France, l’Italie, les États-Unis, le Canada, l’Espagne, le Royaume-Uni et la Turquie.

La nouvelle activité est suivie depuis mai et repose sur des variantes plus compactes qui nécessitent moins d’autorisations et sont dotées de nouvelles fonctionnalités pour tenter d’initier des transactions directement à partir de l’appareil compromis

Également connu sous le nom de TangleBot, le cheval de Troie bancaire Medusa est une opération MaaS (malware-as-a-service) Android découverte en 2020. Le logiciel malveillant fournit un enregistrement de frappe, des contrôles d’écran et une manipulation de SMS.

Bien qu’il porte le même nom, l’opération est différente du gang de ransomwares et du botnet basé sur Mirai pour les attaques par déni de service distribué (DDoS).

Les campagnes récentes ont été découvertes par l’équipe de renseignements sur les menaces de la société de gestion de la fraude en ligne Cleafy, qui affirme que les variantes de logiciels malveillants sont plus légères, nécessitent moins de persmissions sur l’appareil et incluent une superposition en plein écran et une capture d’écran.

Dernières campagnes
La première preuve des variantes récentes de la Méduse date de juillet 2023, selon les chercheurs. Cleafy les a observés dans des campagnes qui reposent sur le phishing par SMS (« smishing ») pour charger latéralement le malware via des applications compte-gouttes.

Les chercheurs ont découvert 24 campagnes utilisant le malware et les ont attribuées à cinq botnets distincts (UNKN, AFETZEDE, ANAKONDA, PEMBE et TONY) qui fournissaient des applications malveillantes.

Le botnet UNKN est exploité par un groupe distinct d’acteurs de la menace, qui se concentrent sur le ciblage de pays d’Europe, en particulier la France, l’Italie, l’Espagne et le Royaume-Uni.

Vue d’ensemble des botnets et clusters Medusa

Les applications compte-gouttes récentes utilisées dans ces attaques incluent un faux navigateur Chrome, une application de connectivité 5G et une fausse application de streaming appelée 4K Sports.

Étant donné que le championnat de l’UEFA EURO 2024 est actuellement en cours, le choix de l’application de streaming sportif 4K comme appât semble opportun.

Cleafy commente que toutes les campagnes et tous les botnets sont gérés par l’infrastructure centrale de Medusa, qui récupère dynamiquement les URL du serveur de commande et de contrôle (C2) à partir des profils de médias sociaux publics.

Récupération d’adresses C2 à partir de canaux cachés

Nouvelle variante de Medusa
Les auteurs du malware Medusa ont choisi de réduire son empreinte sur les appareils compromis, ne demandant désormais qu’un petit ensemble d’autorisations, mais nécessitant toujours les services d’accessibilité d’Android.

En outre, le logiciel malveillant conserve sa capacité à accéder à la liste de contacts de la victime et à envoyer des SMS, une méthode de distribution clé

Comparaison des autorisations demandées

L’analyse de Cleafy montre que les auteurs du malware ont supprimé 17 commandes de la version précédente du malware et en ont ajouté cinq nouvelles:

  • destroy: désinstaller une application spécifique
  • permdrawover: demande l’autorisation de « Dessin au-dessus »
  • définir la superposition: définir une superposition d’écran noir
  • take_scr: prendre une capture d’écran
  • update_sec: mettre à jour le secret de l’utilisateur

La commande’ setoverlay ‘ est remarquable car elle permet aux attaquants distants d’effectuer des actions trompeuses telles que faire apparaître l’appareil verrouillé/éteint pour masquer les activités ODF malveillantes se produisant en arrière-plan.

Superposition d’écran noir en action

La nouvelle capacité de capture d’écran est également un ajout important, offrant aux acteurs de la menace une nouvelle façon de voler des informations sensibles sur les appareils infectés.

Dans l’ensemble, l’opération de cheval de Troie bancaire mobile Medusa semble élargir sa portée de ciblage et devenir de plus en plus furtive, ouvrant la voie à un déploiement plus massif et à un plus grand nombre de victimes.

Bien que Cleafy n’ait encore observé aucune des applications compte-gouttes sur Google Play, à mesure que le nombre de cybercriminels rejoignant la MaaS augmente, les stratégies de distribution sont appelées à se diversifier et à devenir plus sophistiquées.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *