Diferencia entre revisiones de «Medusa Trojan»

El troyano bancario Medusa para Android, también conocido como TangleBot, ha resurgido con nuevas variantes que apuntan a usuarios en siete países. Este malware, que ha sido una amenaza desde 2020, permite a los atacantes registrar pulsaciones de teclas, controlar la pantalla y manipular mensajes SMS. Las nuevas versiones de Medusa son más ligeras, requieren menos permisos y tienen la capacidad de iniciar transacciones directamente desde los dispositivos comprometidos. Además, utilizan tácticas como superposiciones de pantalla completa y capturas de pantalla para robar información sensible. Estas variantes se distribuyen a través de aplicaciones maliciosas disfrazadas de navegadores o aplicaciones de transmisión, aprovechando eventos populares como el campeonato de la UEFA EURO 2024 para atraer a las víctimas.

Funcionamiento

El troyano bancario Medusa, también conocido como TangleBot, es una sofisticada pieza de malware diseñado para dispositivos Android, operando bajo un modelo de malware como servicio (MaaS). Aquí hay una descripción técnica de su funcionamiento:

Estructura y Distribución

1. Distribución a través de Cuentagotas:
   • Medusa se distribuye principalmente mediante aplicaciones de cuentagotas que simulan ser aplicaciones legítimas, como navegadores, aplicaciones de conectividad 5G, o aplicaciones de transmisión de deportes.
   • Utiliza técnicas de phishing por SMS ("smishing") para engañar a los usuarios y hacer que descarguen estas aplicaciones maliciosas.
2. Permisos y Servicios de Accesibilidad:
   • Las variantes recientes de Medusa solicitan un conjunto reducido de permisos, lo que incluye servicios de accesibilidad, transmisión de SMS, acceso a Internet, servicio en primer plano y gestión de paquetes.
   • Estos permisos permiten al malware realizar acciones críticas con menor visibilidad y menor probabilidad de detección.

Capacidades y Comandos

1. Registro de Teclas y Control de Pantalla:
   • Medusa puede registrar pulsaciones de teclas (keylogging) y tomar control de la pantalla del dispositivo comprometido.
   • La funcionalidad de superposición permite mostrar pantallas falsas para robar credenciales de inicio de sesión y otra información sensible.
2. Manipulación de SMS:
   • El malware puede leer y enviar mensajes SMS, lo que permite interceptar códigos de autenticación de dos factores (2FA) y realizar fraudes en dispositivos (ODF).
3. Comandos del Malware:
   • La última variante de Medusa ha eliminado 17 comandos antiguos y ha introducido 5 nuevos:
     • destroyo: Desinstalar una aplicación específica.
     • permdrawover: Solicitar permiso para 'Dibujar sobre otras aplicaciones'.
     • setoverlay: Establecer una superposición de pantalla negra.
     • take_scr: Tomar una captura de pantalla.
     • update_sec: Actualizar el secreto del usuario.
   • El comando setoverlay es particularmente importante, ya que permite a los atacantes realizar acciones encubiertas, haciendo que el dispositivo parezca apagado mientras se realizan actividades maliciosas en segundo plano.

Infraestructura y Comunicación

1. Botnets y Servidores de Comando y Control (C2):
   • Medusa opera a través de varias botnets identificadas (UNKN, AFETZEDE, ANAKONDA, PEMBE y TONY), cada una con objetivos geográficos específicos y métodos de señuelo únicos.
   • Utiliza infraestructura centralizada para gestionar las botnets y recuperar dinámicamente las URL de los servidores C2 desde perfiles públicos de redes sociales, lo que dificulta su rastreo y bloqueo.
2. Actualizaciones y Persistencia:
   • El malware es capaz de actualizar su configuración y comandos mediante comunicación con el servidor C2.
   • Mantiene persistencia en el dispositivo comprometiendo los servicios de accesibilidad y utilizando técnicas de superposición y manipulación de pantalla para evitar la detección y desinstalación.

Impacto y Consecuencias

El impacto y las consecuencias del troyano bancario Medusa para dispositivos Android son significativos y abarcan múltiples aspectos, desde la seguridad financiera individual hasta la infraestructura de las instituciones financieras. Aquí se describe el impacto y las consecuencias técnicas de Medusa:

Impacto en Dispositivos y Usuarios Individuales

1. Robo de Información Financiera:
   • Medusa puede capturar credenciales bancarias y otra información financiera sensible mediante técnicas de superposición de pantalla y registro de teclas (keylogging).
   • Las capturas de pantalla permiten a los atacantes obtener información confidencial directamente desde las aplicaciones bancarias y otros servicios financieros.
2. Fraude en Dispositivos (ODF):
   • Con la capacidad de controlar la pantalla y enviar mensajes SMS, Medusa puede realizar transacciones fraudulentas directamente desde el dispositivo comprometido sin el conocimiento del usuario.
   • La manipulación de SMS permite interceptar códigos de autenticación de dos factores (2FA), facilitando el acceso no autorizado a cuentas bancarias y otros servicios protegidos.
3. Pérdida de Datos Personales:
   • El malware puede acceder a la lista de contactos y enviar mensajes SMS, lo que no solo expone la información personal del usuario comprometido sino que también pone en riesgo a sus contactos.
4. Invasión de la Privacidad:
   • El registro de teclas y la captura de pantalla representan una grave invasión de la privacidad, permitiendo a los atacantes monitorear y registrar casi todas las actividades del usuario en el dispositivo.

Impacto en Infraestructuras Financieras

1. Compromiso de la Seguridad de las Instituciones Financieras:
   • Las instituciones financieras enfrentan un aumento en los intentos de fraude y robo de información debido a la actividad de Medusa.
   • Los ataques exitosos pueden resultar en pérdidas financieras significativas y en la necesidad de implementar medidas de seguridad adicionales, lo que incrementa los costos operativos.
2. Evasión de Medidas de Seguridad:
   • Medusa utiliza tácticas avanzadas como la reducción de permisos solicitados y la recuperación dinámica de URLs de servidores de comando y control (C2) desde redes sociales, lo que complica la detección y mitigación del malware.
   • La capacidad de desinstalar aplicaciones y establecer superposiciones de pantalla negra permite a Medusa evadir medidas de seguridad y permanecer oculto en los dispositivos comprometidos durante períodos prolongados.

Consecuencias Legales y Regulatorias

1. Obligaciones de Cumplimiento:
   • Las instituciones financieras afectadas por ataques de Medusa pueden enfrentar escrutinio regulatorio y la obligación de cumplir con normativas de seguridad de datos más estrictas.
   • Los incidentes de seguridad pueden requerir notificaciones de incumplimiento a clientes y reguladores, lo que afecta la reputación de la institución y puede resultar en sanciones legales.
2. Reclamaciones y Litigios:
   • Los usuarios afectados pueden presentar reclamaciones por pérdidas financieras, lo que puede derivar en litigios y costos legales para las instituciones financieras y otras entidades involucradas.

Consecuencias Económicas y Sociales

1. Pérdidas Financieras Directas:
   • Las pérdidas directas por fraudes y transacciones no autorizadas pueden ser sustanciales tanto para los usuarios individuales como para las instituciones financieras.
2. Desconfianza en la Tecnología Móvil:
   • Los ataques de Medusa pueden erosionar la confianza de los usuarios en la banca móvil y otros servicios financieros móviles, afectando la adopción y el uso de estas tecnologías.
3. Aumento de los Costos de Seguridad:
   • Las instituciones financieras y otros proveedores de servicios tendrán que invertir más en tecnologías de seguridad y en la educación de los usuarios para mitigar las amenazas de malware como Medusa.

Origen y motivación

Medusa, también conocido como TangleBot, es un troyano bancario para Android descubierto en 2020, que opera bajo un modelo de malware como servicio (MaaS). Originado con el propósito de facilitar el fraude financiero, Medusa permite a los ciberdelincuentes registrar pulsaciones de teclas, controlar pantallas y manipular SMS para robar información sensible y realizar transacciones fraudulentas. Su motivación principal es económica, ya que busca obtener ganancias mediante el robo de credenciales bancarias y la realización de fraudes en dispositivos comprometidos. La evolución continua de Medusa, con nuevas variantes y capacidades mejoradas, refleja un esfuerzo constante por evadir las medidas de seguridad y maximizar su impacto financiero.

• Relación de acciones para mitigar el riesgo de esta actividad maliciosa.

Familias de malware