Xenomorph Android malware

Egy erős Android banki trójainak sikerült behatolnia a Google Play Áruházba, és több mint 50 000 eszközt megfertőzött, annak ellenére, hogy még fejlesztés alatt áll. A fenyegetést Xenomorph Android Malware néven követik nyomon a ThreatFabric szakértői, akik elemezték a mögöttes kódot és funkcióit. Megállapításaik szerint a Xenomorph fő célja, hogy érzékeny banki információkat gyűjtsön áldozataitól, és annak ellenére, hogy nincs teljesen kitöltve, már 56 bankot képes megcélozni Európa-szerte.

Meg kell jegyezni, hogy a fenyegetés bizonyos kódbeli hasonlóságokat mutat egy másik, Alien nevű banki trójaival. Ez azt jelentheti, hogy a Xenomorph a korábbi Alien fenyegetés folytatása, vagy egy fejlesztő mindkettőn dolgozott.

Elosztás és funkcionalitás

A hivatalos Google Play Áruház védelmének megkerülésére a Xenomorph mögött álló kiberbűnözők egy dedikált cseppentő alkalmazást használtak, amelyet a „Gymdrop” cseppentőcsaládba sorolnak be, és amelyet először 2021 novemberében fedeztek fel. Az alkalmazás a „Fast Cleaner” nevet kapta. ", és megpróbálta vonzani a felhasználókat Android-eszközeik teljesítményének növelésére vonatkozó ígéretekkel. Az alkalmazásmaga a lication nem tartalmaz fenyegető rakományt – csak az áldozat eszközére való telepítés után tölti le a Xenomorph trójai programot.

A bejutást követően a rosszindulatú program Accessibility Service engedélyeket kér, amelyeket aztán azonnal visszaél, hogy még több engedélyt kapjon az eszközön. Végső soron a fenyegetés képes lesz elfogni az értesítéseket, SMS-eket és átfedési támadásokat végrehajtani. Röviden, a fenyegetés olyan hitelesítő adatokat és egyszeri jelszavakat szerezhet, amelyek lehetővé teszik az áldozat banki és pénzügyi számláinak veszélyeztetését.

A kiberbiztonsági szakértők arra számítanak, hogy a Xenomorph tovább fog fejlődni. Valójában a fejlesztők által alkalmazott moduláris megközelítés lehetővé teszi számukra, hogy könnyen hozzáadjanak további invazív funkciókat. A fenyegetésnek még most is számos parancsa van, amelyek kulcsnaplózási rutinokra és további adatgyűjtési képességekre utalnak, amelyeket még nem alkalmaztak teljesen.