Вредоносное ПО Xenomorph для Android

Вредоносное ПО Xenomorph для Android Описание

Мощному банковскому троянцу Android удалось проникнуть в магазин Google Play и заразить более 50 000 устройств, несмотря на то, что он все еще находится в стадии разработки. Эта угроза отслеживается экспертами ThreatFabric как Xenomorph Android Malware, которые проанализировали ее основной код и функциональные возможности. Согласно их выводам, основной целью Xenomorph является сбор конфиденциальной банковской информации от своих жертв, и, несмотря на то, что он еще не полностью завершен, он уже способен атаковать 56 банков из стран по всей Европе.

Следует отметить, что эта угроза имеет некоторое сходство кода с другим банковским троянцем Alien . Этот факт может означать, что Xenomorph является продолжением предыдущей угрозы Alien или что разработчик работал над обоими.

Распространение и функциональность

Чтобы обойти защиту официального магазина Google Play, киберпреступники, стоящие за Xenomorph, использовали специальное приложение-дроппер, которое классифицируется как часть семейства дропперов «Gymdrop», которое было впервые обнаружено еще в ноябре 2021 года. Приложение было названо «Fast Cleaner». ’ и пытался привлечь пользователей обещаниями повышения производительности их Android-устройств. ПриложениеСам lication не содержит каких-либо угрожающих полезных нагрузок — он извлекает трояна Xenomorph только после его установки на устройство жертвы.

Оказавшись внутри, вредоносное ПО запрашивает разрешения службы специальных возможностей, которые затем незамедлительно использует, чтобы получить еще больше разрешений на устройстве. В конечном итоге угроза сможет перехватывать уведомления, SMS-сообщения и выполнять оверлейные атаки. Короче говоря, угроза может получить учетные данные и одноразовые пароли, позволяющие ей скомпрометировать банковские и финансовые счета жертвы.

Эксперты по кибербезопасности ожидают, что Xenomorph продолжит развиваться. Действительно, модульный подход, принятый его разработчиками, позволяет им легко добавлять более инвазивные функции. Даже сейчас у угрозы есть несколько команд, относящихся к процедурам регистрации клавиатуры и дополнительным возможностям сбора данных, которые не были полностью реализованы.