Xenomorph Android Malware

Xenomorph Android Malware Beschrijving

Een krachtige Android banking-trojan is erin geslaagd de Google Play Store te infiltreren en meer dan 50.000 apparaten te infecteren, ondanks dat het nog in ontwikkeling is. De dreiging wordt gevolgd als de Xenomorph Android Malware door de experts van ThreatFabric, die de onderliggende code en functionaliteiten hebben geanalyseerd. Volgens hun bevindingen is het belangrijkste doel van Xenomorph het verzamelen van gevoelige bankgegevens van zijn slachtoffers en ondanks dat het nog niet volledig is voltooid, is het al in staat om 56 banken uit landen in heel Europa te targeten.

Opgemerkt moet worden dat de dreiging bepaalde code-overeenkomsten deelt met een andere banktrojan genaamd Alien. Dit feit zou kunnen betekenen dat Xenomorph een voortzetting is van de vorige Alien-dreiging of dat een ontwikkelaar aan beide heeft gewerkt.

Distributie en functionaliteit

Om de beveiligingen van de officiële Google Play Store te omzeilen, gebruikten de cybercriminelen achter Xenomorph een speciale dropper-applicatie die wordt geclassificeerd als onderdeel van de 'Gymdrop'-dropperfamilie, die voor het eerst werd ontdekt in november 2021. De applicatie kreeg de naam 'Fast Cleaner ' en probeerde gebruikers aan te trekken met beloften om de prestaties van hun Android-apparaten te verbeteren. De application zelf bevat geen bedreigende payloads - het haalt de Xenomorph Trojan pas op nadat deze op het apparaat van het slachtoffer is geïnstalleerd.

Eenmaal binnen vraagt de malware om toegangsrechten voor de toegankelijkheidsservice, die het vervolgens misbruikt om nog meer rechten op het apparaat te krijgen. Uiteindelijk zal de dreiging in staat zijn om meldingen en sms-berichten te onderscheppen en overlay-aanvallen uit te voeren. Kortom, de dreiging kan inloggegevens en eenmalige wachtwoorden verkrijgen, waardoor het de bank- en financiële rekeningen van het slachtoffer kan compromitteren.

Cybersecurity-experts verwachten dat Xenomorph zal blijven evolueren. Dankzij de modulaire aanpak van de ontwikkelaars kunnen ze eenvoudig meer invasieve functies toevoegen. Zelfs nu heeft de dreiging verschillende commando's die verwijzen naar keylogging-routines en aanvullende mogelijkheden voor gegevensverzameling die niet volledig zijn geïmplementeerd.