Lo ha scoperto Cleafy, azienda milanese specializzata nella lotta alle frodi online nuove tracce di Medusa, un temibile trojan bancario che prende di mira gli smartphone Android. Come spiega l’indagine di Cleafy, l’apparizione di Medusa risale al 2020. Quell’anno, il malware veniva offerto in abbonamento tramite un’offerta “Malware-as-a-Service” (MaaS). Questo tipo di offerta consente ai criminali informatici di affittare a pagamento l’accesso al malware.
Conosciuto anche come Tanglebot, il virus è rimasto inattivo dalla scorsa estate. Ora sta tornando alla ribalta con crescenti attacchi in paesi come Francia, Italia, Stati Uniti, Canada, Spagna, Regno Unito e Turchia. Questa è la prima volta che Medusa viene identificata negli attacchi in Francia e Italia, afferma il rapporto.
Leggi anche: Oltre il 50% degli smartphone Android sono minacciati dal malware Rafel RAT
Una nuova versione furtiva di Medusa
I ricercatori di Cleafy spiegano di aver osservato “nuove campagne fraudolente che coinvolgono il cavallo di Troia” Medusa nel maggio 2024. Il virus è stato coinvolto in 24 diverse campagne basate su attacchi di phishing via SMS. Queste operazioni consistevano diffondere applicazioni dannose attraverso messaggi fraudolenti. Le applicazioni contenevano malware dropper. Questi software sono progettati esclusivamente per installare altri virus sugli smartphone delle vittime. Al termine dell’operazione, Medusa è stata installata sul dispositivo.
Selon Cleafy, il malware a significativamente evoluto dalle sue ultime imprese d’armi. Gli esperti hanno osservato “cambiamenti significativi” nel funzionamento del virus. L’arrivo di “nuovi affiliati” utilizzando il software “probabilmente ha spinto gli sviluppatori a creare varianti meno rilevabili, potenzialmente per testare la loro affidabilità in regioni geografiche precedentemente inesplorate”. Ecco perché Medusa chiede molto meno permessi Android se installato solo nel 2023. Questa precauzione consente agli hacker di volare sotto il radar. Tuttavia, il trojan richiede comunque l’accesso ai servizi di accessibilità Android. Queste impostazioni sono progettate per assistere le persone con problemi di vista nell’utilizzo del proprio dispositivo. Tuttavia, molte applicazioni ne approfittano per rubare i dati degli utenti. Inoltre Medusa richiede comunque l’accesso alla rubrica e ai messaggi SMS.
“Riducendo il numero di permessi, il malware diventa meno visibile durante la scansione iniziale, aggirando potenzialmente i controlli di sicurezza automatizzati e le ispezioni manuali”spiega Cleafy.
Il malware ora ha nuove funzionalità, come la possibilità di fare screenshot all’insaputa dell’utente o per sovrapporre una finestra fittizia sopra un’applicazione. Queste tattiche fanno parte del classico arsenale di trojan bancari. Una volta infiltratasi nei telefoni dei bersagli, Medusa farà di tutto per impossessarsi delle coordinate bancarie. Con queste informazioni, gli hacker possono quindi accedere al tuo account per derubarti.
La Francia nel mirino
Per diffondere gli SMS fraudolenti all’origine dell’attacco informatico, i criminali informatici si sono avvalsi complessivamente di cinque botnet. Dopo le indagini, Cleafy si rese conto che gli attacchi contro la Francia erano stati orchestrati da e la botnet UNKN. A quanto pare gli hacker si sono sviluppati “campagne specifiche”per intrappolare i francesi. Questa botnet è gestita da una banda di hacker che prende di mira principalmente i paesi europei, in particolare Francia, Italia, Spagna e Regno Unito. L’arrivo di Medusa in Francia avviene in un momento in cui il paese sta già sperimentando un’ondata continua di attacchi informatici.
Per non perdere nessuna novità di 01net, seguici su Google News e WhatsApp.
Fonte :
Chiaro
