Alerte Cybersécurité : Le Retour du Malware Medusa Cible les Utilisateurs Android dans Sept Pays, Dont la France. Le trojan bancaire Medusa pour Android refait surface avec des variantes plus légères et de nouvelles fonctionnalités menaçant directement les utilisateurs dans plusieurs pays.
A lire aussi :
- Cet acteur majeur du Bitcoin a été hacké par la Corée du Nord : des millions de français touchés, découvrez si votre portefeuille en fait parti !
- Attention vous pouvez vous faire pirater vos comptes Gmail et Microsoft 365 grâce à cette nouvelle technique d’hameçonnage
- Faille sécurité : Attention le navigateur Edge présente multiples vulnérabilités
Renaissance du Malware Medusa
Après une période d’accalmie, le trojan bancaire Medusa pour Android a réémergé, ciblant activement les utilisateurs en France, Italie, États-Unis, Canada, Espagne, Royaume-Uni et Turquie. Cette recrudescence des activités a été repérée depuis mai, avec des variantes du malware nécessitant moins d’autorisations tout en intégrant des fonctionnalités avancées pour exécuter des transactions directement depuis les appareils compromis.
Caractéristiques et Capacités de Medusa
Connu sous le nom de TangleBot, Medusa est un malware-as-a-service (MaaS) pour Android découvert en 2020. Le programme malveillant offre des capacités de keylogging, de contrôle de l’écran et de manipulation de SMS. Bien que portant le même nom, Medusa se distingue d’autres opérations malveillantes telles que le gang de rançongiciels ou le botnet basé sur Mirai pour les attaques par déni de service distribué (DDoS).
Nouvelles Variantes et Campagnes Récentes
Les premières preuves des nouvelles variantes de Medusa remontent à juillet 2023. Ces campagnes utilisent des techniques de phishing par SMS (smishing) pour charger subrepticement le malware via des applications factices. Les chercheurs de Cleafy ont identifié 24 campagnes exploitant ces variantes, reliées à cinq réseaux de botnets différents.
Focus sur l’Europe
Le botnet UNKN, en particulier, est géré par un groupe distinct d’acteurs de la menace qui ciblent principalement les pays européens, en particulier la France, l’Italie, l’Espagne et le Royaume-Uni. Les applications leurre utilisées dans ces attaques incluent une fausse application de navigateur Chrome, une application de connectivité 5G et une fausse application de streaming appelée 4K Sports, opportunistement choisie pendant l’UEFA EURO 2024.
Infrastructure et Stratégies de Distribution
Toutes les campagnes et les botnets sont orchestrés par l’infrastructure centrale de Medusa, qui récupère dynamiquement les URL pour le serveur de commande et de contrôle (C2) à partir de profils de réseaux sociaux publics. Cela montre une évolution vers des stratégies de distribution plus diversifiées et sophistiquées.
Réductions et Ajouts de Commandes
Les auteurs de Medusa ont allégé l’empreinte du malware sur les dispositifs compromis, demandant désormais un ensemble restreint de permissions mais conservant l’accès aux services d’accessibilité d’Android. Ils ont également retiré 17 commandes de la version précédente du malware et en ont ajouté cinq nouvelles, dont une commande notable, ‘setoverlay’, qui permet aux attaquants de masquer des activités malveillantes en faisant apparaître l’écran du dispositif verrouillé ou éteint.
Nouvelles Capacités et Implications
L’ajout de la capacité de capture d’écran représente une menace significative, offrant aux acteurs malveillants un nouveau moyen de voler des informations sensibles. Cette évolution du trojan bancaire Medusa montre une expansion de sa portée et une discrétion accrue, préparant le terrain pour des déploiements plus massifs et un nombre plus élevé de victimes potentielles.
Grosse alerte sécurité sur Google Chrome ! Mettez votre navigateur à jour
Cet article explore la résurgence du malware Medusa qui cible désormais les utilisateurs Android dans sept pays avec des variantes plus sophistiquées. Ces développements soulignent la nécessité pour les utilisateurs de rester vigilants et de prendre des mesures proactives pour protéger leurs appareils et leurs données personnelles contre ces menaces croissantes.