Xenomorph Android Malware

Un potente Trojan bancario per Android è riuscito a infiltrarsi nel Google Play Store e infettare oltre 50.000 dispositivi, nonostante sia ancora in fase di sviluppo. La minaccia è tracciata come Xenomorph Android Malware dagli esperti di ThreatFabric, che ne hanno analizzato il codice e le funzionalità sottostanti. Secondo i loro risultati, l'obiettivo principale di Xenomorph è raccogliere informazioni bancarie sensibili dalle sue vittime e, nonostante non sia del tutto completato, è già in grado di prendere di mira 56 banche di paesi in tutta Europa.

Va notato che la minaccia condivide alcune somiglianze di codice con un altro Trojan bancario chiamato Alien. Questo fatto potrebbe significare che Xenomorph è una continuazione della precedente minaccia Alien o che uno sviluppatore ha lavorato su entrambi.

Distribuzione e funzionalità

Per aggirare le protezioni del Google Play Store ufficiale, i criminali informatici dietro Xenomorph hanno utilizzato un'applicazione contagocce dedicata che è stata classificata come parte della famiglia di contagocce "Gymdrop", scoperta per la prima volta nel novembre 2021. L'applicazione è stata denominata "Fast Cleaner ' e ha cercato di attirare gli utenti con la promessa di migliorare le prestazioni dei loro dispositivi Android. L'applicazioneLa licazione stessa non contiene payload minacciosi: recupera lo Xenomorph Trojan solo dopo essere stato installato sul dispositivo della vittima.

Una volta all'interno, il malware richiede di ricevere le autorizzazioni del servizio di accessibilità, di cui abusa prontamente per ottenere ancora più autorizzazioni sul dispositivo. In definitiva, la minaccia sarà in grado di intercettare notifiche, messaggi SMS ed eseguire attacchi overlay. In breve, la minaccia può ottenere credenziali e password monouso che le consentono di compromettere i conti bancari e finanziari della vittima.

Gli esperti di sicurezza informatica prevedono che Xenomorph continuerà ad evolversi. In effetti, l'approccio modulare adottato dai suoi sviluppatori consente loro di aggiungere facilmente funzionalità più invasive. Anche ora la minaccia ha diversi comandi che si riferiscono a routine di keylogging e capacità di raccolta dati aggiuntive che non sono state completamente implementate.