logo SOS Ransomware
Emergencia 24/7

Vuelve Medusa: campaña de ataque a Android en Francia

Medusa, el temido troyano, ha hecho su reaparición con una nueva oleada de ataques dirigidos a usuarios de smartphones Android en Francia, así como en otros países como Reino Unido, España, Italia, Turquía, Estados Unidos y Canadá. Cualquiera que pensara que su dispositivo estaba a salvo debería estar preparado para una nueva amenaza.

También conocido como TangleBot, Medusa ha evolucionado para volverse más sofisticado y sigiloso, capaz de saltarse las medidas de seguridad avanzadas e infiltrarse en los dispositivos para robar información sensible, incluido el acceso a las cuentas bancarias de sus víctimas. Este resurgimiento marca una evolución significativa del malware, que ahora es capaz de eludir las protecciones más avanzadas y dirigirse a los datos bancarios con una precisión aterradora.

Detectado por los investigadores de ciberseguridad de Cleafy en mayo de 2024, acaban de publicar su informe detallado. El troyano bancario Medusa fue identificado en estos ataques por primera vez en Francia e Italia.

Historia de Medusa: nacimiento y evolución

El troyano Medusa fue identificado por primera vez en 2020, y ya destacaba por su capacidad para atacar dispositivos Android. Se ofrece mediante suscripción como parte de un paquete de «malware como servicio» (MaaS). Esta fórmula, que permite a los ciberdelincuentes alquilar software malicioso para llevar a cabo sus ataques, ha contribuido a sembrar el caos entre los usuarios de Android.

Tras un breve periodo de inactividad, Medusa volvió a la palestra en 2024, dirigiéndose por primera vez a usuarios de Francia e Italia, tal y como recoge el informe de Cleafy. Esta nueva versión del malware es aún más sofisticada y sigilosa, y utiliza métodos avanzados para evadir la detección, poniendo en riesgo los datos personales y financieros de los usuarios. Por ello, se hace imprescindible actualizar todos los sistemas Android y estar especialmente atentos a los intentos de phishing y a las descargas de aplicaciones de fuentes no verificadas.

¿Cómo se propagó Medusa tan rápidamente?

De la forma más convencional, utilizando técnicas avanzadas de phishing. A menudo se animaba a los usuarios a descargar aplicaciones maliciosas que parecían legítimas, lo que permitía al troyano infiltrarse en muchos dispositivos sin ser detectado. Esta capacidad para enmascarar sus intenciones hizo que Medusa fuera especialmente peligroso y difícil de detectar para los sistemas de seguridad tradicionales. Entre las capacidades del malware se incluyen el registro de pulsaciones de teclas, el control de pantallas y la manipulación de mensajes SMS.

Campañas de phishing por SMS

En mayo de 2024, los investigadores de Cleafy descubrieron nuevas y sofisticadas campañas de fraude utilizando el malware Medusa. Según el estudio detallado publicado en su sitio web, estas campañas se basaban en técnicas de phishing por SMS (también conocido como smishing). Estos mensajes SMS están diseñados para imitar comunicaciones oficiales de bancos, proveedores de servicios u otras organizaciones de confianza, animando a las víctimas a hacer clic en enlaces fraudulentos. Una vez pulsado el enlace, los usuarios eran redirigidos a sitios web falsos donde se les invitaba a descargar aplicaciones supuestamente necesarias. Estas aplicaciones, en realidad, contenían el troyano Medusa, que se instalaba silenciosamente en sus dispositivos para robar datos confidenciales. Cleafy señala que esta nueva variante de Medusa es particularmente compacta y difícil de detectar, lo que hace que estas campañas sean aún más peligrosas para los usuarios de Android en Francia y dondequiera que se despliegue la amenaza.

Medusa, nouvelles campagnes de phishing SMS ciblant la France

Proceso de propagación

  1. Recepción del SMS fraudulento: se envía a la víctima un mensaje fraudulento que contiene un enlace.
  2. Descarga de la aplicación: la víctima hace clic en el enlace y descarga una aplicación infectada.
  3. Instalación del dropper: la aplicación instala un«dropper»(inyector o «virus dropper») en el smartphone.
  4. Instalación de Medusa: el «dropper» instala finalmente Medusa en el dispositivo.

Evolución del malware

Los expertos de Cleafy han observado cambios significativos en el funcionamiento de Medusa. Requiere menos permisos de Android que en 2023, lo que dificulta su detección. Medusa ha sido optimizado para operar de forma más discreta, reduciendo el número de permisos solicitados al usuario durante la instalación. Por ejemplo, en lugar de solicitar un gran número de permisos a la vez, sólo pide los que son absolutamente necesarios para sus operaciones maliciosas, incluido el acceso a servicios esenciales como la accesibilidad, los contactos y los mensajes. La reducción de los permisos requeridos también hace que el malware sea más compatible con una mayor variedad de dispositivos Android, lo que aumenta su alcance potencial.

«Al explotar los servicios de accesibilidad, Medusa extiende su funcionalidad más allá del simple control remoto. Esto permite al troyano automatizar varias funciones comúnmente asociadas con los troyanos bancarios modernos, incluido el registro continuo de claves y los ataques dinámicos de superposición», explicó el equipo de Inteligencia de Amenazas de Cleafy.

Permisos reducidos y nuevas funciones

Como hemos visto, al reducir el número de permisos necesarios, Medusa se hace menos visible durante el análisis inicial y, por tanto, aún más peligroso. Este nuevo enfoque le permite operar con una huella más ligera, facilitando la infiltración en dispositivos Android sin levantar sospechas. El acceso a los servicios de accesibilidad, la agenda y los mensajes SMS son especialmente insidiosos, ya que permiten a Medusa controlar el dispositivo sin el conocimiento del usuario, ejecutando comandos y accediendo a datos sin que éste se dé cuenta.

«Entre sus características se incluyen un keylogger, controles de pantalla y la capacidad de leer/escribir mensajes SMS. Estas capacidades permiten a los actores de amenazas llevar a cabo uno de los escenarios de fraude más arriesgados:el fraude en el dispositivo (ODF).»

Inteligencia sobre amenazas de Cleafy

Estas nuevas funciones son especialmente agresivas, ya que permiten a los piratas informáticos acceder no sólo a las credenciales bancarias, sino también a información personal y contraseñas de un solo uso enviadas por SMS (OTP), lo que hace ineficaces las protecciones de autenticación de dos factores.

medusa nouveau variant
Comparación de las autorizaciones necesarias para la primera campaña y las más recientes.

En resumen, las nuevas funcionalidades incluyen la realización de capturas de pantalla sin el conocimiento del usuario, la desinstalación de aplicaciones a distancia y la superposición de ventanas ficticias.

El análisis de Cleafy muestra que los autores del malware han aligerado la versión anterior eliminando 17 comandos y añadiendo cinco nuevos:

  • destroyo: desinstala una aplicación específica
  • permdrawover: solicita el permiso ‘Drawing Over
  • setoverlay: establece una superposición de pantalla en negro
  • take_scr: toma una captura de pantalla
  • update_sec: actualizar el secreto de usuario

Todas estas tácticas tienen como objetivo el acceso sigiloso a nuestros datos personales. Por ejemplo, la funcionalidad de captura de pantalla permite a los atacantes monitorizar y grabar las actividades del usuario en tiempo real, incluyendo la introducción de contraseñas y otra información confidencial. Según los investigadores de Cleafy, el comando«setoverlay» destaca porque permite realizar ataques de forma discreta. El atacante tiene la capacidad de hacer que el dispositivo parezca apagado para enmascarar sus actividades maliciosas, que así pueden tener lugar en segundo plano. Esta combinación de técnicas avanzadas hace que Medusa sea aún más eficaz y peligroso para los usuarios de smartphones Android.

Medusa exemple de la commande overlay en action
Comando Setoverlay en acción – Fuente: Cleafy

Uso de 5 botnets

Para distribuir los mensajes SMS fraudulentos, los ciberdelincuentes se apoyaron en cinco botnets diferentes. Cada una de ellas se caracteriza«por los tipos de señuelos utilizados, la estrategia de distribución y los objetivos geográficos», según los investigadores. El análisis reveló la existencia de dos grupos distintos de botnets Medusa, cada uno con características operativas diferentes:

Medusa, caractéristiques des 5 botnets
Características de las cinco redes de bots – Fuente: Cleafy

Características específicas de los ataques dirigidos a Francia

La red de bots UNKN, que forma parte del segundo grupo y se dirige principalmente a países europeos, marca un cambio en la estrategia operativa de Medusa. Se han desarrollado campañas específicas para atrapar a franceses e italianos. A diferencia de las variantes tradicionales, las instancias se han instalado utilizando «droppers». El dropper, o inyector en francés, también se conoce a veces como virus dropper, un algoritmo fraudulento que actúa como una especie de punto de entrada. Facilita la distribución e instalación de diversos tipos de software malicioso, como el ransomware. Este pequeño y ligero software está diseñado específicamente para engañar a las medidas de ciberseguridad. Se descarga de fuentes poco fiables y, una vez instalado en el dispositivo, su carga viral puede desencadenarse con total discreción. Si quieres saber más sobre las cargas virales, echa un vistazo a nuestro artículo sobre el tema.

Para los expertos en ciberseguridad de Cleafy «esto sugiere que las TAs detrás de esta botnet están experimentando con nuevos métodos de distribución más allá de las tácticas tradicionales de phishing.» Estas campañas se elaboran cuidadosamente para explotar las especificidades culturales, lingüísticas y de comportamiento de los usuarios. Los mensajes pueden diseñarse para que contengan información contextual relevante, como referencias a acontecimientos nacionales o servicios públicos locales, para reforzar su credibilidad.

Por último, 5 consejos básicos para protegerse

  1. Desconfíe siempre de los mensajes de texto sospechosos: nunca haga clic en enlaces contenidos en mensajes de texto sospechosos.
  2. Utilice programas antivirus: instale en su smartphone un programa antivirus fiable.
  3. Compruebe el origen de las aplicaciones: descargue las aplicaciones sólo de su fuente original.
  4. Compruebe los permisos de las aplicaciones: antes de instalar una aplicación, compruebe los permisos que requiere.
  5. Mantén tu sistema actualizado: asegúrate de que tu smartphone cuenta con las últimas actualizaciones de seguridad.

Medusa representa una grave amenaza para los usuarios de teléfonos inteligentes Android en Francia y en todo el mundo. Su capacidad para evolucionar y burlar los sistemas de seguridad la hace especialmente peligrosa. Cleafy aún no ha observado la distribución de droppers en Google Play Store, pero no se puede descartar la posibilidad de futuros despliegues a través de este canal, como ya ha ocurrido con otras familias de malware. Mantente alerta, protege tus dispositivos y ten cuidado con los mensajes SMS sospechosos.

Fuente:

Estudio Cleafy: Medusa renace: descubierta una nueva variante compacta

Picture of Florent Chassignol
Florent Chassignol

Partager cet article

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Copyright © 2025 Recoveo | Réalisation par Tell It