I ricercatori di sicurezza informatica hanno identificato nuove campagne di phishing, con l’uso di malware bancarioattivo da luglio 2023 e ampliando la propria attività fino ad oggiquesto studio è stato condotto attraverso cinque diverse botnet gestite da vari gruppi di criminali informatici.
I campioni analizzati si concentrano su utenti provenienti da Canada, Francia, Italia, SpagnaTurchia, Regno Unito e Stati Uniti.
I nuovi campioni di Medusa Presentano un insieme più leggero di permessi e nuove funzionalità, come la possibilità di visualizzare una sovrapposizione a schermo intero e disinstallare le app da remoto, hanno spiegato i ricercatori di sicurezza Simone Mattia e Federico Valentini, membri della società di sicurezza informatica Cleafy.
Medusa, detta anche TangleBot, è un sofisticato malware Android scoperto per la prima volta nel luglio 2020 e che prende di mira gli istituti finanziari in Turchia. Le sue capacità includono la consueta serie di tecniche del momento per condurre frodi utilizzando attacchi overlay per rubare credenziali bancarie. Nel febbraio 2022, ThreatFabric ha scoperto Medusa che utilizzavano meccanismi di consegna simili a quelli di FluBot (anche conosciuto come Cavolo), camuffando il malware come applicazioni di consegna e utilità apparentemente innocue.
L’ultima analisi di Cleafy rivela non solo miglioramenti nel malware, ma anche l’uso di applicazioni dropper per diffondersi Medusa con il pretesto di falsi aggiornamenti. Inoltre, servizi legittimi come Telegramma E X Vengono utilizzati come risolutori di deadlock per ripristinare il server di comando e controllo (C2) utilizzato per l’esfiltrazione dei dati.
Un cambiamento notevole è la riduzione del numero di permessi richiesti, in un evidente tentativo di ridurre le possibilità di essere scoperti.. Detto questo, richiede comunque l’API dei servizi di accessibilità Android, che consente di abilitare segretamente altre autorizzazioni secondo necessità ed evitare di destare sospetti tra gli utenti.
Un’altra modifica è la possibilità di impostare una sovrapposizione di schermo nero sul dispositivo della vittima per dare l’impressione che il dispositivo sia bloccato o spento e utilizzarlo come copertura per svolgere attività dannose.
cluster di botnet Medusa Spesso si affidano ad approcci comprovati come il phishing per diffondere malware. Tuttavia, sono state osservate nuove ondate che lo diffondono attraverso app dropper scaricate da fonti non affidabili, sottolineando i continui sforzi degli autori delle minacce per evolvere le loro tattiche.
“Ridurre al minimo le autorizzazioni richieste elude il rilevamento e appare più benigno, migliorando la capacità di operare inosservati per lunghi periodi.”
“Geograficamente, il malware si sta espandendo in nuove regioni, come l’Italia e la Francia, indicando uno sforzo deliberato per diversificare il bacino di vittime ed espandere la superficie di attacco.”I ricercatori hanno notato.
Questo sviluppo arriva quando Symantec ha rivelato che vengono utilizzati aggiornamenti del browser falsi Chrome per Android come esca per implementare il trojan bancario Cerbero. Sono state osservate anche campagne simili che distribuiscono false app Telegram attraverso siti Web fraudolenti, distribuendo altri malware Android chiamati SpyMax.
«SpyMax “Si tratta di uno strumento di amministrazione remota (RAT) che ha la capacità di raccogliere informazioni personali/private dal dispositivo infetto senza il consenso dell’utente e di inviarle a un attore di minacce remoto.” “Ciò consente agli autori delle minacce di controllare i dispositivi delle vittime, influenzando la riservatezza e l’integrità della privacy e dei dati della vittima.”
ha affermato K7 Security Labs.
Una volta installata, l’app richiede all’utente di abilitare i servizi di accessibilità, consentendogli di raccogliere sequenze di tasti, posizioni precise e persino la velocità con cui viene spostato il dispositivo. Le informazioni raccolte vengono compresse ed esportate su un server C2 crittografato.
Maggiori informazioni:
Medusa Reborn: scoperta una nuova variante compatta https://www.cleafy.com/cleafy-labs/medusa-reborn-a-new-compact-variant-discovered
Post di ThreatFabric https://x.com/ThreatFabric/status/1285144962695340032
Il nuovo trojan Android Medusa prende di mira gli utenti bancari in 7 paesi https://thehackernews.com/2024/06/new-medusa-android-trojan-targets.html
SpyMax – Un RAT Android prende di mira gli utenti di Telegram https://labs.k7computing.com/index.php/spymax-an-android-rat-targets-telegram-users/
Post di Koodous https://x.com/koodous_project/status/1806695569932365902
Analisi Koodous https://koodous.com/apks/676024a745fac0396a2e9fadf046a5c7f3548bd801e5f3d7030adf5f0596bcd7/general-information
Analisi Koodous https://koodous.com/apks/80852bf1df63b18b6845e0d4f703a1a0cb3360669dc31c9c04718e93591be865/general-information
A proposito di Hispasec
Hispasec ha scritto 7057 pubblicazioni.
