David García 16/08/21 3 min read

El Troyano Bancario Medusa aprovecha varias Redes Sociales para comunicarse con el Servidor de Control

Medusa es un troyano bancario que comenzó su andadura en Julio de 2020. Durante el verano de ese año fueron detectándose nuevas campañas de esta familia, aunque a partir de Septiembre se dejaron de ver nuevas muestras.

Sin embargo, desde el mes de Mayo de 2021 se han detectado varias muestras nuevas de esta familia que mantienen la funcionalidad principal del troyano, pero que reactivan su actividad.

Medusa es un troyano bancario para dispositivos Android. No introduce novedades con respecto al resto de familias conocidas, como Cerberus o Flubot. Sin embargo, es importante seguir de cerca la evolución de esta familia, puesto que en el futuro podría introducir novedades importantes que mejoren el robo de credenciales e información privada de sus víctimas.

Al igual que la mayoría de los troyanos bancarios para Android, Medusa trata de obtener la mayor cantidad de datos posibles del dispositivo infectado, además de las credenciales bancarias. El robo de los mensajes de texto ayuda a los atacantes a llevar a cabo el fraude tras el robo de credenciales, mientras que el robo de la agenda de contactos permite la distribución en nuevas campañas a través de SPAM.

Medusa aprovecha algunas redes sociales como son Telegram, ICQ o Twitter para almacenar la dirección del servidor de control al que debe conectarse el troyano.

De esta forma, el atacante puede actualizar el servidor de control sin mayores problemas, ya que el troyano consultará la nueva dirección accediendo a los distintos perfiles de redes sociales que se incluyen en el código de la muestra. Esto tampoco es nuevo, Anubis Bankbot lleva utilizando este sistema desde hace bastante tiempo.

Por el momento, solo se han observado entidades bancarias turcas entre las afectadas, aunque los atacantes tras este malware podrían comenzar a introducir nuevas entidades en busca de una expansión a nuevos países.

Descarga el informe completo aquí.

avatar

David García

In his more than 9-year professional career, he has been involved in multiple projects, the most important being in the fields of managed security, anti-fraud and ethical hacking services, and malware analysis. He has contributed his know-how and security-related improvements to a wide variety of fraud and vulnerability analysis products. He currently oversees the smooth running of our different products and researches current fraud developments in order to showcase buguroo overseas as well as providing the development department with feedback on the latest malware and cybercriminal trends.