Logiciel malveillant Medusa Mobile

Le cheval de Troie bancaire Medusa a refait surface après près d'un an de discrétion, ciblant des pays comme la France, l'Italie, les États-Unis, le Canada, l'Espagne, le Royaume-Uni et la Turquie. Cette activité renouvelée, surveillée depuis mai, implique des variantes rationalisées nécessitant moins d'autorisations et introduisant de nouvelles fonctionnalités visant à initier des transactions directement à partir d'appareils compromis.

Également appelé TangleBot, le cheval de Troie bancaire Medusa est un Malware-as-a-Service (MaaS) Android découvert en 2020. Ce malware offre des fonctionnalités telles que l'enregistrement de frappe, la manipulation d'écran et le contrôle des SMS. Bien qu'elle porte le même nom, cette opération se distingue du groupe de ransomwares et du botnet basé sur Mirai , connu pour ses attaques par déni de service distribué (DDoS).

Campagnes menaçantes déployant le logiciel malveillant Medusa Mobile

Les premières observations des dernières variantes de Medusa remontent à juillet 2023, lorsque des chercheurs les ont observées dans des campagnes utilisant le phishing par SMS (« smishing ») pour distribuer des logiciels malveillants via des applications compte-gouttes. Au total, 24 campagnes employant ces variantes ont été identifiées, liées à cinq botnets distincts (UNKN, AFETZEDE, ANAKONDA, PEMBE et TONY), chacun responsable de la diffusion d'applications nuisibles.

Le botnet UNKN est exploité par un groupe spécifique d’acteurs menaçants qui ciblent les pays européens, notamment la France, l’Italie, l’Espagne et le Royaume-Uni. Les applications de compte-gouttes récentes utilisées dans ces attaques incluent :

• Un navigateur Chrome contrefait.
• Une prétendue application de connectivité 5G.
• Une fausse application de streaming nommée 4K Sports.

Le choix de l’application 4K Sports comme appât coïncide avec le championnat UEFA EURO 2024 en cours, ce qui en fait un leurre opportun.

Les experts notent que toutes ces campagnes et botnets sont gérés via l'infrastructure centrale de Medusa, qui récupère dynamiquement les URL des serveurs de commande et de contrôle (C2) à partir des profils de réseaux sociaux accessibles au public.

Nouvelles modifications dans les versions du logiciel malveillant Medusa

Les créateurs du malware Medusa ont choisi de minimiser son impact sur les appareils compromis en réduisant le nombre d'autorisations nécessaires, même s'il nécessite toujours les services d'accessibilité d'Android. Malgré cette réduction, le malware conserve sa capacité à accéder à la liste de contacts de la victime et à envoyer des SMS, ce qui reste une méthode critique pour sa diffusion.

L'analyse révèle que les auteurs du malware ont éliminé 17 commandes de sa précédente itération tout en en introduisant cinq nouvelles :

• Destroyo : désinstaller une application spécifique
• Permdrawover : demander l'autorisation « Dessiner par-dessus »
• Setoverlay : appliquer une superposition d'écran noir
• Take_scr : capturer une capture d'écran
• Update_sec : mettre à jour le secret utilisateur

La commande « setoverlay » est particulièrement préoccupante, car elle permet à des attaquants distants d'exécuter des manœuvres trompeuses telles que l'affichage d'un écran verrouillé ou éteint pour masquer des activités menaçantes telles que des transferts de fonds non autorisés se produisant en arrière-plan.

La nouvelle fonctionnalité de capture d'écran représente une amélioration significative, offrant aux acteurs de la menace une nouvelle méthode pour extraire des informations sensibles des appareils compromis.

Les opérateurs de Medusa élargissent leur champ d'action

L'opération du cheval de Troie bancaire mobile Medusa semble élargir son champ d'action et adopter des tactiques plus furtives, ouvrant la voie à un déploiement à plus grande échelle et à un nombre accru de victimes. Bien que les chercheurs n’aient encore identifié aucune des applications dropper sur Google Play, la participation croissante des cybercriminels au Malware-as-a-Service (MaaS) suggère que les stratégies de distribution vont probablement devenir plus diversifiées et sophistiquées.