Cleafy, une société milanaise spécialisée dans la lutte contre la fraude en ligne, a découvert de nouvelles traces de Méduse, un redoutable cheval de Troie bancaire ciblant les smartphones Android. Comme l’explique l’enquête de Cleafy, l’apparition de Medusa remonte à 2020. Cette année-là, le malware était proposé par abonnement via une offre « Malware-as-a-Service » (MaaS). Ce type d’offre permet aux cybercriminels de louer l’accès à des logiciels malveillants moyennant des frais.
Aussi connu sous le nom Enchevêtrementbot, le virus est resté inactif depuis l’été dernier. Il fait aujourd’hui son retour avec des attaques croissantes dans des pays comme la France, l’Italie, les États-Unis, le Canada, l’Espagne, le Royaume-Uni et la Turquie. C’est la première fois que Medusa est identifiée dans des attaques en France et en Italie, indique le rapport.
A lire aussi : Plus de 50% des smartphones Android sont menacés par le malware Rafel RAT
Une nouvelle version furtive de Medusa
Les chercheurs de Cleafy expliquent avoir découvert « nouvelles campagnes de fraude impliquant le cheval de Troie » Medusa en mai 2024. Le virus a été impliqué dans 24 campagnes différentes reposant sur des attaques de phishing par SMS. Ces opérations consistaient à propager des applications malveillantes via des messages frauduleux. Les applications contenaient des logiciels malveillants compte-gouttes. Ces logiciels sont uniquement conçus pour installer d’autres virus sur les smartphones des victimes. A la fin de l’opération, Medusa a été installée sur l’appareil.
Selon Cleafy, le malware a considérablement évolué depuis ses derniers faits d’armes. Les experts ont observé « des changements importants » dans le fonctionnement du virus. L’arrivée de « Nouveaux affiliés » en utilisant le logiciel « a probablement poussé les développeurs à créer des variantes moins détectables, potentiellement pour tester leur fiabilité dans des régions géographiques jusqu’alors inexplorées »C’est pourquoi Méduse appelle beaucoup moins d’autorisations Android une fois installé seulement en 2023. Cette précaution permet aux pirates informatiques de passer inaperçus. Cependant, le cheval de Troie nécessite toujours l’accès aux services d’accessibilité Android. Ces paramètres sont conçus pour aider les personnes malvoyantes à utiliser leur appareil. Cependant, de nombreuses applications en profitent pour voler les données des utilisateurs. De plus, Medusa demande toujours l’accès à l’annuaire et aux messages SMS.
« En réduisant le nombre d’autorisations, le malware devient moins visible lors de l’analyse initiale, contournant potentiellement les contrôles de sécurité automatisés et les inspections manuelles »explique Cleafy.
Le malware dispose désormais de nouvelles fonctionnalités, telles que la possibilité de prendre des captures d’écran à l’insu de l’utilisateur ou pour superposer une fausse fenêtre au-dessus d’une application. Ces tactiques font partie de l’arsenal classique des chevaux de Troie bancaires. Une fois infiltrée sur le téléphone des cibles, Medusa va tout faire pour s’emparer des coordonnées bancaires. Grâce à ces informations, les pirates peuvent alors accéder à votre compte pour vous voler.
La France dans le viseur
Pour diffuser les SMS frauduleux à l’origine de la cyberattaque, les cybercriminels se sont appuyés sur un total de cinq botnets. Après enquête, Cleafy s’est rendu compte que les attentats visant la France étaient orchestrés par et le botnet UNKN. Les pirates ont apparemment développé « campagnes spécifiques »pour piéger les Français. Ce botnet est exploité par une bande de hackers qui ciblent principalement les pays européens, notamment la France, l’Italie, l’Espagne et le Royaume-Uni. L’arrivée de Medusa en France intervient au moment où le pays connaît déjà une vague continue de cyberattaques.
Pour ne manquer aucune actualité de 01net, suivez-nous sur Google News et WhatsApp.
Source :
Cleafy
