Les chercheurs en cybersécurité ont identifié de nouvelles campagnes de phishing, avec l’utilisation de malware bancaireactif depuis juillet 2023 et accroître son activité jusqu’à aujourd’huicette étude a été réalisée à travers cinq botnets différents exploités par divers groupes cybercriminels.
Les échantillons analysés se concentrent sur des utilisateurs du Canada, de France, d’Italie, Espagnela Turquie, le Royaume-Uni et les États-Unis.
Les nouveaux échantillons de méduse Ils présentent un ensemble d’autorisations plus léger et de nouvelles fonctionnalités, telles que la possibilité d’afficher une superposition plein écran et de désinstaller des applications à distance, ont expliqué les chercheurs en sécurité Simone Mattia et Federico Valentini, membres de la société de cybersécurité Cleafy.
Méduse, également connue sous le nom de EnchevêtrementBot, est un malware Android sophistiqué découvert pour la première fois en juillet 2020 et ciblant les institutions financières en Turquie. Ses capacités incluent la suite habituelle de techniques du moment pour mener des fraudes en utilisant des attaques superposées pour voler des informations d’identification bancaires. En février 2022, ThreatFabric a découvert méduse qui utilisait des mécanismes de livraison similaires à ceux de FluBot (Aussi connu comme Cabassous), déguisant le logiciel malveillant en applications utilitaires et de livraison de packages apparemment inoffensives.
La dernière analyse Cleafy révèle non seulement des améliorations des logiciels malveillants, mais également l’utilisation d’applications compte-gouttes pour se propager. méduse sous couvert de fausses mises à jour. De plus, des services légitimes comme Télégramme et X Ils sont utilisés comme résolveurs de blocages pour récupérer le serveur de commande et de contrôle (C2) utilisé pour l’exfiltration des données.
Un changement notable est la réduction du nombre de permis demandés, dans le but apparent de réduire les chances de détection.. Cela dit, il nécessite toujours l’API Android Accessibility Services, vous permettant d’activer secrètement d’autres autorisations si nécessaire et d’éviter d’éveiller les soupçons des utilisateurs.
Une autre modification est la possibilité de superposer un écran noir sur l’appareil de la victime pour donner l’impression que l’appareil est verrouillé ou éteint, et de l’utiliser comme couverture pour mener des activités malveillantes.
clusters de réseaux de zombies méduse Ils s’appuient souvent sur des approches éprouvées telles que le phishing pour propager des logiciels malveillants. Cependant, de nouvelles vagues de propagation ont été observées via des applications de compte-gouttes téléchargées à partir de sources non fiables, soulignant les efforts continus des acteurs malveillants pour faire évoluer leurs tactiques.
“La réduction des autorisations requises échappe à la détection et semble plus inoffensive, améliorant ainsi votre capacité à fonctionner sans être détecté pendant de longues périodes.”
« Géographiquement, le malware s’étend à de nouvelles régions, comme l’Italie et la France, ce qui indique un effort délibéré pour diversifier son bassin de victimes et étendre sa surface d’attaque. »Les chercheurs ont noté.
Ce développement intervient alors que Symantec a révélé que de fausses mises à jour de navigateur étaient utilisées. Chrome pour Android comme leurre pour déployer le cheval de Troie bancaire Cerbère. Des campagnes similaires ont également été observées distribuant de fausses applications Telegram via des sites Web frauduleux, distribuant d’autres logiciels malveillants Android appelés EspionMax.
«EspionMax “Il s’agit d’un outil d’administration à distance (RAT) qui a la capacité de collecter des informations personnelles/privées sur l’appareil infecté sans le consentement de l’utilisateur et de les envoyer à un acteur malveillant distant.” “Cela permet aux acteurs malveillants de contrôler les appareils des victimes, affectant ainsi la confidentialité et l’intégrité de la vie privée et des données de la victime.”
» a déclaré K7 Security Labs.
Une fois installée, l’application invite l’utilisateur à activer les services d’accessibilité, lui permettant de collecter les frappes au clavier, les emplacements précis et même la vitesse à laquelle l’appareil est déplacé. Les informations collectées sont compressées et exportées vers un serveur C2 crypté.
Plus d’informations:
Medusa Reborn : une nouvelle variante compacte découverte https://www.cleafy.com/cleafy-labs/medusa-reborn-a-new-compact-variant-discovered
Publication de ThreatFabric https://x.com/ThreatFabric/status/1285144962695340032
Le nouveau cheval de Troie Android Medusa cible les utilisateurs du secteur bancaire dans 7 pays https://thehackernews.com/2024/06/new-medusa-android-trojan-targets.html
SpyMax – Un RAT Android cible les utilisateurs de Telegram https://labs.k7computing.com/index.php/spymax-an-android-rat-targets-telegram-users/
Article Koodous https://x.com/koodous_project/status/1806695569932365902
Analyse Koodous https://koodous.com/apks/676024a745fac0396a2e9fadf046a5c7f3548bd801e5f3d7030adf5f0596bcd7/general-information
Analyse Koodous https://koodous.com/apks/80852bf1df63b18b6845e0d4f703a1a0cb3360669dc31c9c04718e93591be865/general-information
À propos d’Hispasec
Hispasec a écrit 7057 publications.
