Dopo quasi un anno di silenzio è tornato in attività uno dei malware Android più pericolosi in assoluto. I ricercatori di Cleafy hanno scoperto una nuova versione di Medusa con nuove funzionalità. Le sue dimensioni sono state ridotte e ora richiede meno permessi sul dispositivo. Tra i paesi più colpiti c’è anche l’Italia.
Trojan bancario con funzionalità RAT
Medusa è un MaaS (Malware-as-a-Service), quindi viene offerto in abbonamento ai cybercriminali. Inizialmente gli attacchi erano limitati alla Turchia. Successivamente sono stati estesi a Nord America e Europa. Le funzionalità di RAT (Remote Access Trojan) permettono di prendere il controllo del dispositivo, mentre sfruttando i servizi di accessibilità è possibile effettuare il keylogging e soprattutto gli attacchi dynamic overlay per rubare le credenziali di login ai conti bancari.
La nuova versione viene distribuita tramite cinque botnet e app fake installate dalle ignare vittime dopo aver ricevuto un SMS (smishing). I paesi interessati sono Italia, Turchia, Canada, Stati Uniti, Francia, Regno Unito e Spagna. Medusa richiede meno permessi per cercare di aggirare i controlli di sicurezza automatizzati, ma sfrutta ancora i servizi di accessibilità.
Sono stati inoltre rimossi 17 comandi, ma ci sono 5 nuovi comandi, tra cui quelli per la disinstallazione delle app, la visualizzazione di un overlay nero e la cattura degli screenshot. Anche se sono stati eliminati molti permessi, il malware conserva tutte le vecchie funzionalità. Lo scopo principale è rubare le credenziali di accesso ai conti bancari, mostrando un’interfaccia di login simile a quella ufficiale.