Cleafy, une société milanaise spécialisée dans la lutte contre la fraude en ligne, a découvert de nouvelles traces de Medusa, un redoutable cheval de Troie bancaire visant les smartphones Android. Comme l’explique l’enquête de Cleafy, l’apparition de Medusa remonte à 2020. Cette année-là, le malware a été proposé par abonnement par le biais d’une offre de « Malware-as-a-Service » (MaaS). Ce type d’offre permet à des cybercriminels de louer l’accès à un logiciel malveillant, moyennant finances.
Également connu sous le nom de Tanglebot, le virus est resté inactif depuis l’été dernier. Il fait désormais un retour en force en multipliant les attaques dans des pays comme la France, l’Italie, les États-Unis, le Canada, l’Espagne, le Royaume-Uni et la Turquie. C’est la première fois que Medusa est identifié dans des attaques en France et en Italie, souligne le rapport.
À lire aussi : Plus de 50 % des smartphones Android sont menacés par le malware Rafel RAT
Une nouvelle version furtive de Medusa
Les chercheurs de Cleafy expliquent avoir constaté « de nouvelles campagnes de fraude impliquant le cheval de Troie » Medusa en mai 2024. Le virus était impliqué dans 24 campagnes différentes s’appuyant sur des attaques de phishing par SMS. Ces opérations consistaient à propager des applications malveillantes par le biais de messages frauduleux. Les applications contenaient un malware de type « dropper », ou compte-gouttes. Ces logiciels sont uniquement conçus pour installer d’autres virus sur le smartphone des victimes. Au terme de l’opération, Medusa était donc installé sur l’appareil.
Selon Cleafy, le malware a considérablement évolué depuis ses derniers faits d’arme. Les experts ont constaté des « changements importants » dans le fonctionnement du virus. L’arrivée de « nouveaux affiliés » utilisant le logiciel a « probablement poussé les développeurs à créer des variantes moins détectables, potentiellement pour tester leur fiabilité dans des régions géographiques auparavant inexplorées ». C’est pourquoi Medusa réclame beaucoup moins de permissions Android lors de l’installation qu’en 2023. Cette précaution permet aux pirates de passer sous le radar. Le cheval de Troie réclame néanmoins toujours l’accès aux services d’accessibilité d’Android. Ces paramètres sont conçus pour assister les personnes malvoyantes dans l’utilisation de leur appareil. Cependant, de nombreuses applications en profitent pour dérober les données des utilisateurs. Par ailleurs, Medusa réclame toujours l’accès au répertoire et aux SMS.
« En réduisant le nombre d’autorisations, le logiciel malveillant devient moins visible lors de l’analyse initiale, contournant potentiellement les contrôles de sécurité automatisés et les inspections manuelles », explique Cleafy.
Le malware embarque désormais de nouvelles fonctionnalités, comme la possibilité de réaliser des captures d’écran à l’insu de l’utilisateur ou de superposer une fenêtre factice au-dessus d’une application. Ces tactiques font partie de l’arsenal classique du cheval de Troie bancaire. Une fois infiltré sur le téléphone des cibles, Medusa va d’ailleurs tout faire pour s’emparer des coordonnées bancaires. Avec ces informations, les hackers peuvent par la suite pénétrer sur votre compte pour vous dépouiller.
La France dans le viseur
Pour diffuser les SMS frauduleux à l’origine de la cyberattaque, les cybercriminels se sont appuyés sur un total de cinq botnets. Après enquête, Cleafy s’est rendu compte que les attaques visant la France étaient orchestrées par le botnet UNKN. Les pirates ont apparemment mis au point des « campagnes spécifiques »pour piéger les Français. Ce botnet est exploité par un gang de pirates qui ciblent essentiellement les pays européens, surtout la France, l’Italie, l’Espagne et le Royaume-Uni. L’arrivée de Medusa en France survient alors que le pays essuie déjà une vague continue de cyberattaques.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Cleafy
