Medusa : le cheval de Troie qui vise les smartphones Android débarque en France
Medusa, un cheval de Troie redoutable ciblant les smartphones Android, fait son grand retour en France. Plus furtif et sophistiqué, ce virus vise directement les comptes bancaires de ses victimes.
Cleafy, une société milanaise spécialisée dans la lutte contre la fraude en ligne, a récemment découvert de nouvelles traces de Medusa. Selon les chercheurs, Medusa est apparu en 2020 sous forme d’un « Malware-as-a-Service » (MaaS). Ce modèle permet à des cybercriminels de louer l’accès au malware moyennant des frais, rendant son utilisation accessible à un plus grand nombre.
Connu également sous le nom de Tanglebot, le virus était inactif depuis l’été dernier. Cependant, il a repris ses activités avec des attaques ciblant la France, l’Italie, les États-Unis, le Canada, l’Espagne, le Royaume-Uni et la Turquie. C’est la première fois que Medusa est identifié dans des attaques en France et en Italie, selon le rapport de Cleafy.
Une version furtive et sophistiquée
En mai 2024, Cleafy a détecté de nouvelles campagnes de fraude impliquant Medusa. Le virus a été utilisé dans 24 campagnes distinctes, principalement à travers des attaques de phishing par SMS. Ces campagnes visaient à propager des applications malveillantes contenant un « dropper », un type de logiciel conçu pour installer d’autres virus sur le smartphone des victimes. Une fois le dropper installé, Medusa prend le relais.
Les chercheurs de Cleafy ont noté des évolutions significatives dans le fonctionnement de Medusa. Des « nouveaux affiliés » utilisant le malware ont probablement poussé les développeurs à créer des variantes moins détectables. Medusa requiert désormais beaucoup moins de permissions Android lors de l’installation, rendant le virus plus difficile à détecter. Cependant, il demande toujours l’accès aux services d’accessibilité d’Android, au répertoire et aux SMS, des points d’accès critiques pour voler des informations sensibles.
Pour passer inaperçu, Medusa utilise des stratégies sophistiquées telles que :
- Réduction du nombre de permissions demandées lors de l’installation.
- Captures d’écran à l’insu de l’utilisateur.
- Superposition de fenêtres factices au-dessus des applications légitimes.
Ces tactiques permettent aux pirates de dérober des coordonnées bancaires et autres informations sensibles, leur donnant accès aux comptes bancaires des victimes.
La France en ligne de mire
Les cybercriminels diffusent les SMS frauduleux à l’origine des attaques à l’aide de cinq botnets distincts. Cleafy a identifié que les attaques visant la France sont orchestrées par le botnet UNKN, géré par un gang de pirates ciblant principalement les pays européens.
L’arrivée de Medusa en France se produit alors que le pays fait déjà face à une vague continue de cyberattaques. Les campagnes spécifiques mises en place par ces pirates montrent une adaptation et une sophistication croissante des méthodes utilisées pour tromper les utilisateurs français.
Comment se protéger ?
Pour se protéger contre des menaces comme Medusa, il est essentiel de suivre quelques recommandations de sécurité :
- Éviter de cliquer sur des liens ou d’ouvrir des pièces jointes dans des SMS ou emails suspects.
- Utiliser des applications de sécurité fiables sur son smartphone.
- Être vigilant sur les permissions demandées par les applications installées.
- Mettre à jour régulièrement le système d’exploitation et les applications.
En restant informé et vigilant, il est possible de réduire les risques d’infection par des malwares comme Medusa.
Source : 01Net