Le logiciel malveillant Android Medusa refait surface : une nouvelle variante cible les utilisateurs du monde entier

Medusa, un cheval de Troie bancaire Android qui avait été dissimulé pendant environ un an, a refait surface, selon des experts en sécurité. Les chercheurs en cybersécurité de Cleafy ont découvert une nouvelle variante légère de Medusa utilisée par de nombreux acteurs de la menace, ciblant des individus dans de nombreux pays à travers le monde.

Le rapport des chercheurs indique qu’ils ont récemment observé une augmentation des installations d’une nouvelle application appelée « 4K Sports », qui, après un examen plus approfondi, s’est avérée être une version évoluée de Medusa, avec des changements significatifs dans son infrastructure de commande et ses capacités.

Objectifs avancés

La nouvelle variante est particulièrement remarquable car elle nécessite moins d’autorisations, ce qui la rend moins détectable.

Cependant, elle nécessite toujours des services d’accessibilité, ce qui constitue un signal d’alarme pour les problèmes de sécurité potentiels. Parmi les autres fonctionnalités notables, citons la diffusion de SMS, le service d’avant-plan Internet et la gestion des paquets.

Les chercheurs ont identifié 17 commandes supprimées et cinq nouvelles, dont la possibilité de créer un écran noir, de prendre des captures d’écran, etc.

L’utilisation de ce nouveau programme Medusa a permis d’identifier cinq réseaux de zombies distincts, chacun ayant des cibles opérationnelles et géographiques uniques, principalement situées au Canada, en Espagne, en France, en Italie, au Royaume-Uni, aux États-Unis et en Turquie.

Les experts estiment que le botnet Medusa utilise probablement des droppers pour se distribuer. Il est intéressant de noter que ces droppers n’ont pas été détectés dans le Google Play Store, ce qui limite considérablement leur diffusion.

Néanmoins, les sites web dédiés, les plateformes de médias sociaux, les escroqueries par hameçonnage et d’autres voies restent viables, pouvant conduire à des centaines de milliers de téléchargements.

Il est important de noter que le cheval de Troie bancaire Medusa est différent du ransomware ou du botnet basé sur Mirai qui porte le même nom. Ce logiciel malveillant sophistiqué cible principalement les institutions financières et permet la fraude bancaire.

Medusa a été découvert pour la première fois en 2020, ciblant les institutions financières turques, et en 2022, il avait lancé de grandes campagnes à travers l’Amérique du Nord et l’Europe.