Medusa, um trojan bancário identificado pela primeira vez em 2020, teria retornado com várias novas atualizações que o tornam mais ameaçador. A nova variante do malware também teria como alvo mais regiões do que a versão original. Uma empresa de segurança cibernética detectou o trojan ativo no Canadá, França, Itália, Espanha, Turquia, Reino Unido e EUA. A Medusa ataca principalmente o sistema operacional Android, do Google, colocando em risco os proprietários de smartphones. Como qualquer trojan bancário, ele persegue os aplicativos bancários no dispositivo e pode até realizar fraudes no dispositivo.
Novas variantes do trojan bancário Medusa descobertas
Empresa de segurança cibernética Cleafy relatórios que novas campanhas de fraude envolvendo o trojan bancário Medusa foram detectadas em maio, depois de permanecerem fora do radar por quase um ano. Medusa é um tipo de TangleBot – um malware Android que pode infectar um dispositivo e dar aos invasores uma ampla gama de controle sobre ele. Embora possam ser usados para roubar informações pessoais e espionar indivíduos, o Medusa, sendo um trojan bancário, ataca principalmente aplicativos bancários e rouba dinheiro das vítimas.
A versão original do Medusa foi equipada com recursos poderosos. Por exemplo, ele tinha o recurso de trojan de acesso remoto (RAT) que lhe permitia conceder ao invasor controles de tela e a capacidade de ler e escrever SMS. Ele também veio com um keylogger e a combinação permitiu que ele realizasse um dos cenários de fraude mais perigosos — fraude no dispositivo, de acordo com a empresa.
No entanto, a nova variante é considerada ainda mais perigosa. A empresa de segurança cibernética descobriu que 17 comandos que existiam no malware mais antigo foram removidos no Trojan mais recente. Isso foi feito para minimizar a exigência de permissões no arquivo empacotado, levantando menos suspeitas. Outra atualização é que ele pode definir uma sobreposição de tela preta no dispositivo atacado, o que pode fazer o usuário pensar que o dispositivo está bloqueado ou desligado, enquanto o Trojan executa suas atividades maliciosas.
Os atores da ameaça também estão usando novos mecanismos de entrega para infectar dispositivos. Anteriormente, estes eram divulgados através de links SMS. Mas agora, aplicativos dropper (aplicativos que parecem legítimos, mas implantam o malware depois de instalados) estão sendo usados para instalar o Medusa sob o pretexto de uma atualização. No entanto, o relatório destacou que os fabricantes de malware não conseguiram implantar o Medusa através da Google Play Store.
Depois de instalado, o aplicativo exibe mensagens solicitando ao usuário que habilite os serviços de acessibilidade para coletar os dados do sensor e as teclas digitadas. Os dados são então compactados e exportados para um servidor C2 codificado. Depois que informações suficientes forem coletadas, o autor da ameaça poderá usar o acesso remoto para assumir o controle do dispositivo e cometer fraude financeira.
Recomenda-se que os usuários do Android não cliquem em URLs compartilhados via SMS, aplicativos de mensagens ou plataformas de mídia social por remetentes desconhecidos. Eles também devem ser cautelosos ao baixar aplicativos de fontes não confiáveis ou simplesmente acessar a Google Play Store para baixar e atualizar aplicativos.
