Xenomorph Android Malware

Xenomorph Android Malware Beskrivelse

En potent Android-banktrojaner har formået at infiltrere Google Play Butik og inficere over 50.000 enheder, selvom den stadig er under udvikling. Truslen spores som Xenomorph Android Malware af eksperterne hos ThreatFabric, som har analyseret dens underliggende kode og funktionaliteter. Ifølge deres resultater er Xenomorphs hovedmål at indsamle følsomme bankoplysninger fra sine ofre, og på trods af at den ikke er fuldstændig færdig, er den allerede i stand til at målrette mod 56 banker fra lande i hele Europa.

Det skal bemærkes, at truslen deler visse kodeligheder med en anden banktrojaner ved navn Alien. Dette faktum kan betyde, at Xenomorph er en fortsættelse af den tidligere Alien-trussel, eller at en udvikler har arbejdet på begge.

Distribution og funktionalitet

For at omgå beskyttelsen af den officielle Google Play Butik brugte de cyberkriminelle bag Xenomorph en dedikeret dropper-applikation, der er ved at blive klassificeret som en del af 'Gymdrop'-droppefamilien, som først blev opdaget tilbage i november 2021. Applikationen fik navnet 'Fast Cleaner' ' og forsøgte at tiltrække brugere med løfter om at øge ydeevnen af deres Android-enheder. App'enselve licationen indeholder ingen truende nyttelast - den henter først Xenomorph Trojan efter at være blevet installeret på offerets enhed.

Når den først er inde, anmoder malwaren om at modtage Accessibility Service-tilladelser, som den derefter straks misbruger for at få endnu flere tilladelser på enheden. I sidste ende vil truslen være i stand til at opsnappe notifikationer, SMS-beskeder og udføre overlejringsangreb. Kort sagt kan truslen få legitimationsoplysninger og engangsadgangskoder, der gør det muligt for den at kompromittere ofrets bank- og finansielle konti.

Cybersikkerhedseksperter forventer, at Xenomorph vil fortsætte med at udvikle sig. Faktisk giver den modulære tilgang, der er vedtaget af dets udviklere, dem nemt at tilføje mere invasive funktioner. Selv nu har truslen adskillige kommandoer, der refererer til keylogging-rutiner og yderligere dataindsamlingsfunktioner, som ikke er fuldt implementeret.