El malware en Android sigue siendo habitual a pesar de los continuos esfuerzos de Google, que solo en 2023 evitó que se publicaran más de dos millones de aplicaciones maliciosas. Uno de los objetivos habituales que persiguen los delincuentes es hacerse con los datos bancarios de los usuarios, algo que consiguen infectando los dispositivos mediante troyanos como Vultur o Brokewell.
Otro de los troyanos bancarios más peligrosos que afectan a Android es Medusa, también conocido como TangleBot. Después de haber pasado desapercibido desde hace aproximadamente un año, todo parece indicar que este peligroso troyano bancario se encuentra activo de nuevo con una nueva variante.
Medusa es capaz de iniciar transferencias bancarias directamente desde el móvil infectado
Medusa es un sofisticado malware bancario descubierto originalmente en 2020. Inicialmente se extendió por Turquía y afectó a instituciones financieras del país, pero poco después comenzó a extenderse por el resto del mundo. En la actualidad se trata de una amenaza de seguridad importante que afecta a los usuarios de dispositivos Android.
Después de haber pasado desapercibido desde hace alrededor de un año, el pasado mes de mayo comenzó a detectarse actividad relacionada con Medusa en siete países distintos: España, Francia, Italia, Estados Unidos, Canadá, Reino Unido y Turquía. La actividad ha sido descubierta por Cleafy, una empresa de ciberseguridad italiana.
Para poder comprender la magnitud del problema debemos hacernos una idea del funcionamiento del malware: Medusa ofrece acceso remoto a los dispositivos comprometidos explotando las posibilidades de VNC, una herramienta que permite compartir pantalla en tiempo real. El troyano se aprovecha de los servicios de accesibilidad, una de las puertas al malware más habituales en Android.
Una vez que el dispositivo está infectado, los delincuentes pueden hacer uso de un keylogger para capturar las teclas que el usuario pulsa en su dispositivo. Esto les permite hacerse con las credenciales bancarias de los usuarios, que en ningún momento son conscientes de lo que está ocurriendo.
La primera evidencia de las nuevas variantes aparecieron en verano de 2023, cuando Cleafy observó que se estaba haciendo uso de técnicas de smishing (phishing a través de mensajes de texto) para intentar infectar los dispositivos de los usuarios mediante aplicaciones dropper, un tipo de troyano diseñado para instalar malware.
Entre las aplicaciones dropper utilizadas se encuentra una versión falsa de Google Chrome, una aplicación de conectividad y una app fraudulenta de streaming de deportes llamada 4K Sports, aunque en principio ninguna se distribuye a través de Google Play, la tienda oficial de Google.
Las nuevas variantes de Medusa son capaces de funcionar haciendo uso de menos permisos en los dispositivos comprometidos y tienen acceso a la lista de contactos del usuario. Además, Medusa es capaz de enviar SMS para continuar extendiendo el malware.
Estas nuevas variantes cuentan también con nuevas funciones, como la posibilidad de desinstalar aplicaciones, hacer capturas de pantalla o de mantener la pantalla en negro (simulando que está apagada) para ocultar actividad sospechosa.
Llegados a este punto queda claro que los riesgos en caso de que nuestros dispositivos se infecten con este malware son extremadamente grandes. Como siempre, recordamos la importancia de limitarnos a descargar aplicaciones de Google Play y no instalar aplicaciones desconocidas o sospechosas.
Vía | Cleafy y Bleeping Computer
Imagen de portada | Image Creator de Microsoft Designer
En Xataka Android | Qué es el malware, qué tipos hay y qué puedes hacer si infecta tu móvil
Ver 0 comentarios