Xenomorph Android Malware

Potężny trojan bankowy dla Androida zdołał przeniknąć do sklepu Google Play i zainfekować ponad 50 000 urządzeń, mimo że wciąż jest w fazie rozwoju. Zagrożenie jest śledzone jako Xenomorph Android Malware przez ekspertów z ThreatFabric, którzy przeanalizowali jego kod i funkcje. Zgodnie z ich ustaleniami, głównym celem Xenomorph jest zbieranie poufnych informacji bankowych od swoich ofiar i pomimo tego, że nie zostały one w pełni ukończone, jest już w stanie atakować 56 banków z krajów w całej Europie.

Należy zauważyć, że zagrożenie to ma pewne podobieństwa w kodzie z innym trojanem bankowym o nazwie Alien. Fakt ten może oznaczać, że Xenomorph jest kontynuacją poprzedniego zagrożenia Alien lub że deweloper pracował nad obydwoma.

Dystrybucja i funkcjonalność

Aby ominąć zabezpieczenia oficjalnego sklepu Google Play, cyberprzestępcy stojący za Xenomorph wykorzystali dedykowaną aplikację droppera, która jest klasyfikowana jako część rodziny dropperów „Gymdrop”, która została odkryta po raz pierwszy w listopadzie 2021 roku. Aplikacja została nazwana „Fast Cleaner”. ” i próbowali przyciągnąć użytkowników obietnicami zwiększenia wydajności ich urządzeń z Androidem. AplikacjaSama lication nie zawiera żadnych zagrażających ładunków — pobiera trojana Xenomorph dopiero po zainstalowaniu na urządzeniu ofiary.

Po wejściu do środka złośliwe oprogramowanie prosi o uzyskanie uprawnień do usługi ułatwień dostępu, które następnie szybko nadużywa, aby uzyskać jeszcze więcej uprawnień na urządzeniu. Docelowo zagrożenie będzie mogło przechwytywać powiadomienia, wiadomości SMS i przeprowadzać ataki typu overlay. Krótko mówiąc, zagrożenie może uzyskać dane uwierzytelniające i jednorazowe hasła, które pozwolą mu włamać się na konta bankowe i finansowe ofiary.

Eksperci od cyberbezpieczeństwa oczekują, że Xenomorph będzie nadal ewoluował. Rzeczywiście, modułowe podejście przyjęte przez jego programistów pozwala im na łatwe dodawanie bardziej inwazyjnych funkcji. Nawet teraz zagrożenie ma kilka poleceń odnoszących się do procedur keyloggera i dodatkowych możliwości gromadzenia danych, które nie zostały w pełni zaimplementowane.