Connect with us

Sicurezza Informatica

Conosciamo Medusa: nuovo malware per Android mobile e non è Flubot

Published

on

Tempo fa c’era un malware Android di grande successo chiamato FluBot, noto anche come Cabassous in alcuni ambienti. Il trojan Android, diretto al settore bancario, rubava le vostre password e dettagli bancari.

Secondo i ricercatori di ThreatFabric, Medusa Malware sta usando lo stesso schema.
Inoltre, agisce come un attacco MITM (Man In The Middle), il che significa che ha una certa intelligenza incorporata per intercettare alcune delle azioni. Può prendere screenshot di alcune delle tue azioni e passare queste informazioni agli attori cattivi.

A causa del successo di FluBot sono spuntate delle imitazioni e Medusa agisce in modo simile, ma è in realtà scritto da un gruppo diverso. Oggi si registrano prodotti malware simili in competizione, questo può solo significare che si inizierà a raffinare sempre di più i prodotti presenti sul mercato, rendendoli ancora più difficili da individuare per i profani e non solo.

Iniziato dapprima come un keylogger, Medusa si è poi evoluto e adesso può raccogliere ancora più dati dal dispositivo infetto.
Uno dei più grandi punti di forza di Android può anche essere la sua più grande debolezza, questo è esattamente ciò che Medusa sta capitalizzando. Il malware Medusa abusa del motore di scripting di accessibilità di Android, che concede agli hacker le seguenti azioni, come se fossero la persona reale che utilizza il dispositivo:

  • home_key – Esegue l’azione globale HOME
  • ges – Esegue un gesto specificato sullo schermo del dispositivo
  • fid_click – Fa clic sull’elemento UI con l’ID specificato
  • sleep – Dorme (aspetta) per il numero di microsecondi specificato
  • recent_key – Mostra una panoramica delle app recenti
  • scrshot_key – Esegue l’azione globale TAKE_SCREENSHOT
  • notification_key – Apre le notifiche attive
  • lock_key – Blocca lo schermo
  • back_key – Esegue l’azione globale BACK
  • text_click – Fa clic sull’elemento UI che ha un testo specificato visualizzato
  • fill_text – Non ancora implementato

La potenza di questo trojan bancario e keylogger Medusa non può essere sottovalutata. Ha la funzione di cattura degli screenshot, ma ha anche lo streaming audio e video in diretta e l’esecuzione di comandi remoti, rendendolo uno strumento di attacco MITM ideale per gli attori cattivi finanche quelli statali.

Uno dei rischi maggiori di infezione deriva dall’installazione delle applicazione da piattaforme non ufficiali e diverse dallo store del produttore del dispositivo.