제노모프 안드로이드 악성코드

강력한 Android 뱅킹 트로이 목마가 아직 개발 중임에도 불구하고 Google Play 스토어에 침투하여 50,000개 이상의 기기를 감염시켰습니다. 위협은 기본 코드와 기능을 분석한 ThreatFabric의 전문가에 의해 Xenomorph Android Malware로 추적됩니다. 그들의 연구 결과에 따르면 Xenomorph의 주요 목표는 피해자로부터 민감한 은행 정보를 수집하는 것이며 완전히 완료되지는 않았지만 이미 유럽 전역 국가의 56개 은행을 표적으로 삼을 수 있습니다.

위협 요소는 Alien 이라는 다른 뱅킹 트로이 목마와 특정 코드 유사성을 공유한다는 점에 유의해야 합니다. 이 사실은 Xenomorph가 이전 Alien 위협의 연속이거나 개발자가 두 가지 모두에 대해 작업했음을 의미할 수 있습니다.

배포 및 기능

공식 Google Play 스토어의 보호를 우회하기 위해 Xenomorph의 사이버 범죄자들은 2021년 11월에 처음 발견된 'Gymdrop' 드롭퍼 제품군의 일부로 분류되는 전용 드롭퍼 애플리케이션을 사용했습니다. 이 애플리케이션의 이름은 'Fast Cleaner'였습니다. '하고 Android 기기의 성능을 향상시키겠다는 약속으로 사용자를 끌어들이려고 했습니다. 앱라이선스 자체에는 위협적인 페이로드가 포함되어 있지 않습니다. 피해자의 장치에 설치된 후에만 Xenomorph 트로이 목마를 가져옵니다.

일단 내부에 들어가면 맬웨어는 접근성 서비스 권한을 요청하고 즉시 이를 악용하여 장치에 대한 더 많은 권한을 얻습니다. 궁극적으로 위협은 알림, SMS 메시지를 가로채고 오버레이 공격을 수행할 수 있습니다. 간단히 말해서 위협 요소는 자격 증명과 일회용 암호를 획득하여 피해자의 은행 및 금융 계정을 손상시킬 수 있습니다.

사이버 보안 전문가들은 Xenomorph가 계속 진화할 것으로 예상합니다. 실제로 개발자가 채택한 모듈식 접근 방식을 통해 더 많은 침입 기능을 쉽게 추가할 수 있습니다. 지금도 위협은 키로깅 루틴과 완전히 구현되지 않은 추가 데이터 수집 기능을 참조하는 몇 가지 명령을 가지고 있습니다.