O trojan bancário Medusa para Android voltou à atividade após quase um ano de relativa quietude, agora mirando usuários em países como França, Itália, Estados Unidos, Canadá, Espanha, Reino Unido e Turquia. Desde maio, foram detectadas novas variantes compactas do malware, que exigem menos permissões e incluem funcionalidades aprimoradas para iniciar transações diretamente dos dispositivos comprometidos. Conhecido também como TangleBot, o Medusa é um malware-as-a-service (MaaS) descoberto em 2020, oferecendo serviços como keylogging, controle de tela e manipulação de SMS. Apesar de compartilhar nome com outras operações de ransomware e botnets, esta variante é específica para Android.
Pesquisadores identificaram 24 campanhas utilizando o Medusa, atribuindo-o a cinco botnets distintas: UNKN, AFETZEDE, ANAKONDA, PEMBE e TONY. Essas botnets distribuíram aplicativos maliciosos disfarçados, como um navegador Chrome falso, um aplicativo de conectividade 5G e um falso aplicativo de streaming chamado 4K Sports. A infraestrutura central do Medusa gerencia todas as campanhas e botnets, atualizando dinamicamente os URLs dos servidores de comando e controle a partir de perfis públicos em redes sociais. Apesar de não terem sido identificados esses aplicativos na Google Play, espera-se que as táticas de distribuição se tornem mais sofisticadas.
As novas variantes do Medusa são mais leves, exigindo menos permissões, mas ainda utilizam os Serviços de Acessibilidade do Android. O malware mantém a capacidade de acessar a lista de contatos da vítima, enviar SMS e capturar screenshots, permitindo que os invasores roubem informações sensíveis dos dispositivos infectados.