Xenomorph Android Malware

Descrição do Xenomorph Android Malware

Um potente Trojan bancário para o Android conseguiu se infiltrar naLoja do Google Play e infectar mais de 50.000 dispositivos, apesar de ainda estar em desenvolvimento. A ameaça é rastreada como o Xenomorph Android Malware pelos especialistas da ThreatFabric, que analisaram o seu código e funcionalidades subjacentes. De acordo com suas descobertas, o principal objetivo do Xenomorph é coletar as informações bancárias confidenciais de suas vítimas e, apesar de não estar totalmente concluído, já é capaz de atingir 56 bancos de países da Europa.

Deve-se notar que a ameaça compartilha certas semelhanças de código com outro Trojan bancário chamado Alien. Esse fato pode significar que o Xenomorph é uma continuação da ameaça Alien anterior ou que um desenvolvedor trabalhou em ambos.

Distribuição e Funcionalidade

Para contornar as proteções da Loja do Google Play oficial, os cibercriminosos por trás do Xenomorph usaram um aplicativo dropper dedicado, que está sendo classificado como parte da família de droppers 'Gymdrop', que foi descoberta pela primeira vez em novembro de 2021. O aplicativo foi nomeado 'Fast Cleaner' ' e tentou atrair usuários com promessas de aumentar o desempenho dos seus dispositivos Android. A aplicação em si não contém nenhuma carga útil ameaçadora - ele traz o Trojan Xenomorph somente após ser instalado no dispositivo da vítima.

Uma vez dentro, o malware solicita o recebimento de permissões do Serviço de Acessibilidade, das quais ele imediatamente abusa para obter ainda mais permissões no dispositivo. Por fim, a ameaça poderá interceptar notificações, mensagens SMS e realizar ataques de sobreposição. Em suma, a ameaça pode obter credenciais e senhas de uso único, permitindo-lhe comprometer as contas bancárias e financeiras da vítima.

Os especialistas em segurança cibernética esperam que o Xenomorph continue a evoluir. De fato, a abordagem modular adotada por seus desenvolvedores permite que eles adicionem facilmente recursos mais invasivos. Mesmo agora, a ameaça possui vários comandos referentes a rotinas de keylogging e recursos adicionais de coleta de dados que não foram totalmente implementados.