Medusa est de retour : campagne d’attaque sur Android en France

Medusa, un cheval de Troie redouté, a fait son grand retour avec une nouvelle vague d’attaques ciblant les utilisateurs de smartphones Android en France, ainsi que dans plusieurs autres pays tels que le Royaume-Uni, l’Espagne, l’Italie, la Turquie les États-Unis et le Canada. Ceux qui pensaient que leur appareil était à l’abri doivent se préparer à une nouvelle menace.

Également connu sous le nom de TangleBot, Medusa a évolué pour devenir plus sophistiqué et furtif, capable de contourner les mesures de sécurité avancées et d’infiltrer les appareils pour voler des informations sensibles, notamment afin d’accéder aux comptes en banque de ses victimes. Cette résurgence marque une évolution significative du malware, désormais capable de contourner les protections les plus avancées et de cibler les données bancaires avec une précision redoutable.

Repéré par les chercheurs en cybersécurité de Cleafy en mai 2024, ces derniers viennent de publier leur rapport détaillé. Le trojan bancaire Medusa a été identifié dans ces attaques pour la première fois en France et en Italie.

Historique de Medusa : naissance et évolution

Le cheval de Troie Medusa a été identifié pour la première fois en 2020, il s’était déjà distingué par sa capacité à cibler les appareils Android. Proposé sous forme d’abonnement grâce à une offre de « Malware-as-a-Service » (MaaS). Cette formule qui permet aux cybercriminels de louer un logiciel malveillant pour mener leurs attaques, a contribué à faire des ravages parmi les utilisateurs d’Android.

Après une courte période d’inactivité, Medusa est revenu sur le devant de la scène en 2024, ciblant pour la première fois des utilisateurs en France et en Italie ainsi que le précise le rapport de Cleafy . Cette nouvelle version du malware est encore plus sophistiquée et furtive, utilisant des méthodes avancées pour échapper à la détection, mettant ainsi en danger les données personnelles et financières des utilisateurs. En conséquence, il est devient essentiel de bien mettre à jour tous les systèmes Android et d’être particulièrement vigilant face aux tentatives de phishing et aux téléchargements d’applications provenant de sources non vérifiées.

Comment Medusa s’est-il si rapidement propagé ?

De la manière la plus classique tout en utilisant des techniques de phishing avancées. Les utilisateurs étaient souvent incités à télécharger des applications malveillantes qui semblaient légitimes, ce qui a permis au trojan de s’infiltrer discrètement dans de nombreux appareils. Cette capacité à masquer ses intentions a rendu Medusa particulièrement dangereux et difficile à détecter pour les systèmes de sécurité traditionnels. Ce logiciel malveillant permet entre autres l’enregistrement des touches du clavier via un keylogger, le contrôle des écrans et la manipulation des SMS.

Campagnes de Phishing par SMS

En mai 2024, les chercheurs de Cleafy ont mis en lumière de nouvelles campagnes de fraude sophistiquées utilisant le malware Medusa. Selon l’étude détaillée publiée sur leur site, ces campagnes se sont appuyées sur des techniques de phishing par SMS ((aussi appelées Smishing). Ces SMS sont conçus pour imiter des communications officielles de banques, de fournisseurs de services ou d’autres organisations de confiance incitant les victimes à cliquer sur des liens frauduleux. Une fois le lien cliqué, les utilisateurs étaient redirigés vers des sites web falsifiés où ils étaient invités à télécharger des applications prétendument nécessaires. Ces applications, en réalité, contenaient le cheval de Troie Medusa, qui s’installait silencieusement sur leurs appareils pour voler des données sensibles. Cleafy souligne que cette nouvelle variante de Medusa est particulièrement compacte et difficile à détecter, ce qui rend ces campagnes encore plus dangereuses pour les utilisateurs d’Android en France et partout où la menace est déployée.

Medusa, nouvelles campagnes de phishing SMS ciblant la France

Processus de propagation

  1. Réception du SMS frauduleux : un message frauduleux contenant un lien est envoyé à la victime.
  2. Téléchargement de l’application : la victime clique sur le lien et télécharge une application infectée.
  3. Installation du dropper : l’application installe un « dropper » (injecteur ou “virus compte-gouttes”) sur le smartphone.
  4. Installation de Medusa : le dropper installe finalement Medusa sur l’appareil.

Évolution du Malware

Les experts de Cleafy ont constaté d’importants changements dans le fonctionnement de Medusa. Il réclame moins de permissions Android qu’en 2023, rendant sa détection plus difficile. Medusa a été optimisé pour fonctionner de manière plus discrète, réduisant le nombre de permissions demandées à l’utilisateur lors de son installation. Par exemple, au lieu de solliciter un grand nombre de permissions à la fois, il se contente de celles qui sont absolument nécessaires pour ses opérations malveillantes, notamment l’accès aux services essentiels tels que l’accessibilité, les contacts et les messages. La réduction des permissions requises rend également le malware plus compatible avec une plus grande variété d’appareils Android, augmentant ainsi sa portée potentielle.

“En exploitant les services d’accessibilité, Medusa étend ses fonctionnalités au-delà du simple contrôle à distance. Cela permet au cheval de Troie d’automatiser plusieurs fonctions couramment associées aux chevaux de Troie bancaires modernes, notamment l’enregistrement continu des clés et les attaques dynamiques par superposition.“ explique l’équipe Cleafy Threat Intelligence.

Réduction des permissions et nouvelles fonctionnalités

Comme nous l’avons vu en réduisant le nombre d’autorisations demandées, Medusa devient moins visible lors de l’analyse initiale, et donc encore plus dangereux. Cette nouvelle approche lui permet de fonctionner avec une empreinte plus légère, ce qui facilite son infiltration sur les appareils Android sans éveiller les soupçons. L’accès aux services d’accessibilité, au répertoire et aux SMS sont particulièrement insidieux car ils permettent à Medusa de contrôler l’appareil à l’insu de l’utilisateur, exécutant des commandes et accédant aux données sans que l’utilisateur s’en aperçoive.

“Ses caractéristiques comprennent un enregistreur de frappe, des contrôles d’écran et la capacité de lire/écrire des SMS. Ces capacités permettent aux acteurs de la menace de réaliser l’un des scénarios de fraude les plus risqués : la fraude sur appareil (On-Device Fraud (ODF).”

Cleafy Threat Intelligence

Ces nouvelles fonctionnalités sont particulièrement agressives car elles donnent aux pirates, non seulement accès aux identifiants bancaires, mais aussi aux informations personnelles et aux mots de passe à usage unique envoyés par SMS (OTP), rendant ainsi ainsi les protections d’authentification à deux facteurs inopérants.

medusa nouveau variant
Comparaison des autorisations requises lors des premières campagnes et des campagnes récentes.

En résumé on retrouve parmi les nouvelles fonctionnalités : les captures d’écran à l’insu de l’utilisateur, la désinstallation d’applications à distance ou encore la superposition de fenêtres factices.

L’analyse de Cleafy démontre que les auteurs du logiciel malveillant ont allégé la version précédente en supprimant 17 commandes et qu’ils en ont ajouté cinq nouvelles :

  • destroyo: uninstall a specific application
  • permdrawover: request ‘Drawing Over’ permission
  • setoverlay: set a black screen overlay
  • take_scr: take a screenshot
  • update_sec: update user secret

Toutes ces tactiques visent l’accès furtif à nos données personnelles. Par exemple, la fonctionnalité de capture d’écran permet aux attaquants de surveiller et d’enregistrer les activités de l’utilisateur en temps réel, incluant la saisie des mots de passe et autres informations confidentielles. Selon les chercheurs de Cleafy la commande « setoverlay » est remarquable car elle permet d’effectuer les attaques en toute discrétion. L’attaquant a la capacité de faire apparaître l’appareil comme éteint pour masquer ses activités malveillantes, qui peuvent alors se déroulent en arrière-plan. Cette combinaison de techniques avancées renforce l’efficacité de Medusa et le danger qu’il représente pour les utilisateurs de smartphones Android.

Medusa exemple de la commande overlay en action
Commande “setoverlay” en action – Source : Cleafy

Utilisation de 5 botnets

Pour diffuser les SMS frauduleux, les cybercriminels se sont appuyés sur cinq botnets différents. Chacun d’entre eux se caractérise “par les types de leurres utilisés, la stratégie de distribution et les cibles géographiques” selon les chercheurs. L’analyse a révélé l’existence de deux groupes distincts de botnets Medusa, chacun présentant des caractéristiques opérationnelles différentes :

Medusa, caractéristiques des 5 botnets
Caractéristiques des cinq botnets – Source : Cleafy

Spécificités des attaques visant la France

Le botnet UNKN qui fait partie du second cluster et cible principalement les pays européens marque un changement dans la stratégie opérationnelle de Medusa. Des campagnes spécifiques ont été mises au point pour piéger les Français et les Italiens. Au contraire des variantes traditionnelles, des instances ont été installées à l’aide de “droppers”. Le dropper, ou injecteur en français est parfois aussi appelé virus compte-goutte, cet algorithme frauduleux va servir en quelque sorte de porte d’entrée. Il va faciliter la diffusion et l’installation de divers logiciels malveillants comme les ransomwares par exemples. Ce logiciel petit et léger est spécifiquement conçu pour tromper les mesures de cybersécurité. Téléchargé à partir de sources non fiables, une fois installé sur l’appareil sa charge virale va pouvoir se déclencher en toute discrétion. Si vous désirez en savoir plus sur les charges virales vous pouvez consulter notre article dédié à ce sujet.

Pour les experts en cybersécurité de Cleafy “cela suggère que les TA à l’origine de ce botnet expérimentent de nouvelles méthodes de distribution au-delà des tactiques traditionnelles d’hameçonnage.” Ces campagnes sont soigneusement élaborées pour exploiter les spécificités culturelles, linguistiques et comportementales des utilisateurs. Les messages peuvent peuvent être conçus pour contenir des informations contextuelles pertinentes, comme des références à des événements nationaux ou des services publics locaux, pour renforcer leur crédibilité.

Pour finir 5 conseils de base pour se protéger

  1. Méfiez-vous toujours des SMS suspects : ne cliquez jamais sur les liens contenus dans les SMS suspects.
  2. Utilisez un antivirus : installez un antivirus fiable sur votre smartphone.
  3. Contrôlez la source des applications : ne téléchargez les application qu’à partir des sources d’origine
  4. Vérifiez les permissions des applications : avant d’installer une application, vérifiez les permissions qu’elle demande.
  5. Gardez votre système à jour : assurez-vous que votre smartphone dispose des dernières mises à jour de sécurité.

Medusa représente une menace sérieuse pour les utilisateurs de smartphones Android en France et dans le monde. Sa capacité à évoluer et à contourner les systèmes de sécurité le rend particulièrement dangereux. Cleafy n’a pas encore observé pour l’instant la distribution des droppers sur le Google Play Store, mais la possibilité de déploiements futurs à travers ce canal n’est pas à exclure comme cela a déjà pu être le cas pour d’autres familles de malwares. Restez vigilant, protégez vos appareils et méfiez-vous des SMS suspects.

Sources :

Étude Cleafy : Médusa renaît : une nouvelle variante compacte découverte

Image de Florent Chassignol
Florent Chassignol
Attiré très jeune par l'informatique, je suis aujourd'hui Fondateur et CEO de Recoveo, leader français de la récupération de données. Vous êtes victime d'un ransomware, votre serveur est HS, votre téléphone a plongé dans la piscine ? Nous sommes là pour vous !

Partager cet article

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *