Medusa, trojan perbankan yang pertama kali diidentifikasi pada tahun 2020, dilaporkan telah kembali dengan beberapa peningkatan baru yang membuatnya lebih mengancam. Varian baru malware tersebut juga dikatakan menargetkan lebih banyak wilayah dibandingkan versi aslinya. Sebuah perusahaan keamanan siber telah mendeteksi trojan yang aktif di Kanada, Prancis, Italia, Spanyol, Turki, Inggris, dan Amerika. Medusa terutama menyerang sistem operasi Android Google, sehingga membahayakan pemilik ponsel cerdas. Seperti trojan perbankan lainnya, trojan ini menyerang aplikasi perbankan di perangkat dan bahkan dapat melakukan penipuan pada perangkat.
Varian baru trojan perbankan Medusa ditemukan
Perusahaan keamanan siber Cleafy laporan bahwa kampanye penipuan baru yang melibatkan trojan perbankan Medusa terlihat pada bulan Mei setelah tidak terdeteksi selama hampir satu tahun. Medusa adalah sejenis TangleBot — malware Android yang dapat menginfeksi perangkat dan memberi penyerang kendali luas terhadap perangkat tersebut. Meskipun mereka dapat digunakan untuk mencuri informasi pribadi dan memata-matai individu, Medusa, sebagai trojan perbankan, terutama menyerang aplikasi perbankan dan mencuri uang dari korbannya.
Medusa versi asli dilengkapi dengan kemampuan yang kuat. Misalnya, ia memiliki kemampuan remote access trojan (RAT) yang memungkinkannya memberikan kontrol layar kepada penyerang dan kemampuan untuk membaca dan menulis SMS. Itu juga dilengkapi dengan keylogger dan kombinasi tersebut memungkinkannya melakukan salah satu skenario penipuan paling berbahaya – penipuan pada perangkat, menurut perusahaan tersebut.
Namun varian baru tersebut disebut-sebut lebih berbahaya. Perusahaan keamanan siber menemukan bahwa 17 perintah yang ada di malware lama telah dihapus di Trojan terbaru. Hal ini dilakukan untuk meminimalkan persyaratan izin dalam file yang dibundel, sehingga mengurangi kecurigaan. Peningkatan lainnya adalah ia dapat mengatur hamparan layar hitam pada perangkat yang diserang, yang dapat membuat pengguna mengira perangkat tersebut terkunci atau dimatikan, sementara trojan melakukan aktivitas jahatnya.
Pelaku ancaman juga dilaporkan menggunakan mekanisme pengiriman baru untuk menginfeksi perangkat. Sebelumnya, penyebarannya melalui link SMS. Namun sekarang, aplikasi dropper (aplikasi yang tampak sah tetapi menyebarkan malware setelah diinstal) digunakan untuk menginstal Medusa dengan kedok pembaruan. Namun, laporan tersebut menyoroti bahwa pembuat malware belum dapat menyebarkan Medusa melalui Google Play Store.
Setelah diinstal, aplikasi menampilkan pesan yang meminta pengguna mengaktifkan layanan aksesibilitas untuk mengumpulkan data sensor dan penekanan tombol. Data tersebut kemudian dikompresi dan diekspor ke server C2 yang dikodekan. Setelah cukup informasi dikumpulkan, pelaku ancaman dapat menggunakan akses jarak jauh untuk mengambil kendali perangkat dan melakukan penipuan finansial.
Pengguna Android disarankan untuk tidak mengklik URL yang dibagikan melalui SMS, aplikasi perpesanan, atau platform media sosial oleh pengirim yang tidak dikenal. Mereka juga harus berhati-hati saat mengunduh aplikasi dari sumber yang tidak tepercaya, atau tetap menggunakan Google Play Store untuk mengunduh dan memperbarui aplikasi.