Repéré pour la première fois en 2020, le cheval de Troie Medusa cible à nouveau les utilisateurs Android. Capable de voler des identifiants bancaires et d'exécuter des actions à distance, celui qu'on appelle aussi TangleBot se propage par des campagnes de phishing par SMS.
Ce malware sophistiqué, connu pour ses capacités de vol de données et ses attaques overlay, a récemment évolué pour se dissimuler encore plus efficacement sur les appareils infectés. Détecté une première fois par les équipes de Cleafy en juillet 2023, le nouveau variant de Medusa est aujourd'hui très actif en France, en Italie, aux États-Unis, au Canada, en Espagne et au Royaume-Uni et en Turquie.
Les experts en cybersécurité mettent en garde contre cette menace croissante qui cible spécifiquement les identifiants bancaires et autres informations sensibles.
01 décembre 2024 à 11h06
Une menace qui évolue
Le cheval de Troie Medusa, bien que déjà connu des experts, a vu ses capacités renforcées, rendant sa détection et son éradication encore plus difficiles. Initialement conçu comme un simple keylogger, Medusa s'est transformé en un outil de piratage complet. Plus léger que sa version originale et requérant encore moins d'autorisations pour fonctionner, il peut désormais désinstaller des applications, y superposer de faux éléments, afficher un écran noir pour faire croire que le smartphone est éteint, enregistrer des captures et exécuter des commandes à distance grâce à son utilisation abusive des services d'accessibilité d'Android. Ces fonctionnalités permettent non seulement aux pirates de voler des identifiants bancaires, mais aussi des informations personnelles et des mots de passe à usage unique (OTP), contournant ainsi les mécanismes d'authentification à deux facteurs.
Parce que Medusa peut accéder aux contacts des smartphones infectés et envoyer automatiquement des SMS, sa propagation se fait principalement avec des campagnes de phishing. Les victimes reçoivent donc de leurs connaissances des messages contenant des liens malveillants qui, une fois cliqués, téléchargent et installent le malware sous la forme d'applications légitimes. Cette méthode de distribution n'est pas sans rappeler celle du tristement célèbre FluBot. Les chercheurs ont souligné que la sophistication de Medusa réside également dans sa capacité à contourner les mesures de sécurité des applications bancaires en affichant des écrans de connexion factices, trompant ainsi les utilisateurs pour qu'ils divulguent leurs informations confidentielles.
Comment se protéger de Medusa ?
La protection contre Medusa repose sur la vigilance et l'adoption de bonnes pratiques de sécurité. Premier réflexe : ne jamais télécharger d'applications à partir de liens reçus par SMS ou e-mail, même si ces messages semblent provenir de sources fiables. Préférez toujours passer par le Google Play Store, ou d'autres stores officiels (Amazon, Samsung, etc.), et contrôlez les avis et les autorisations demandées par les applications avant de les installer.
N'oubliez pas non plus de vérifier que le Google Play Protect est bien activé sur votre smartphone. Cette option de sécurité intégrée se charge d'analyser l'ensemble des applis déjà installées ainsi que celles à télécharger, et bloque efficacement les fichiers aux comportements suspects.
Il est enfin recommandé d'activer l'authentification à deux facteurs sur tous les comptes sensibles, à l'aide de clés physiques dans la mesure du possible.
Source : Bleeping Computer