มัลแวร์ Xenomorph Android

โทรจันระบบธนาคาร Android ที่มีศักยภาพสามารถแทรกซึมเข้าไปใน Google Play Store และแพร่ระบาดในอุปกรณ์กว่า 50,000 เครื่อง แม้จะยังอยู่ระหว่างการพัฒนา ภัยคุกคามถูกติดตามในฐานะมัลแวร์ Xenomorph Android โดยผู้เชี่ยวชาญที่ ThreatFabric ซึ่งได้วิเคราะห์โค้ดและฟังก์ชันพื้นฐานของมัน ตามการค้นพบของพวกเขา เป้าหมายหลักของ Xenomorph คือการรวบรวมข้อมูลการธนาคารที่ละเอียดอ่อนจากผู้ที่ตกเป็นเหยื่อ และแม้ว่าจะยังไม่เสร็จสมบูรณ์ แต่ก็สามารถกำหนดเป้าหมายไปยังธนาคาร 56 แห่งจากประเทศต่างๆ ทั่วยุโรปได้แล้ว

ควรสังเกตว่าภัยคุกคามแบ่งปันความคล้ายคลึงของรหัสบางอย่างกับโทรจันธนาคารอื่นชื่อ Alien ข้อเท็จจริงนี้อาจหมายความว่า Xenomorph เป็นความต่อเนื่องของภัยคุกคามจาก Alien ก่อนหน้านี้หรือนักพัฒนาซอฟต์แวร์ได้ดำเนินการทั้งสองอย่าง

การกระจายและการทำงาน

เพื่อหลีกเลี่ยงการป้องกันของ Google Play Store อย่างเป็นทางการ อาชญากรไซเบอร์ที่อยู่เบื้องหลัง Xenomorph ได้ใช้แอปพลิเคชัน Dropper โดยเฉพาะซึ่งจัดอยู่ในกลุ่มผลิตภัณฑ์ Dropper ของ "Gymdrop" ซึ่งถูกค้นพบครั้งแรกเมื่อเดือนพฤศจิกายน ปี 2021 แอปพลิเคชันนี้มีชื่อว่า 'Fast Cleaner ' และพยายามดึงดูดผู้ใช้ด้วยสัญญาว่าจะเพิ่มประสิทธิภาพอุปกรณ์ Android ของพวกเขา แอพlication นั้นไม่มี payloads ที่เป็นอันตราย - มันดึง Xenomorph Trojan หลังจากติดตั้งบนอุปกรณ์ของเหยื่อเท่านั้น

เมื่อเข้าไปข้างในแล้ว มัลแวร์จะร้องขอให้รับสิทธิ์การเข้าถึงบริการ ซึ่งจากนั้นก็ละเมิดทันทีเพื่อรับการอนุญาตเพิ่มเติมบนอุปกรณ์ ในที่สุด ภัยคุกคามจะสามารถสกัดกั้นการแจ้งเตือน ข้อความ SMS และทำการโจมตีซ้อนทับได้ กล่าวโดยสรุป ภัยคุกคามสามารถรับข้อมูลประจำตัวและรหัสผ่านแบบใช้ครั้งเดียว เพื่อให้สามารถประนีประนอมกับบัญชีธนาคารและการเงินของเหยื่อได้

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์คาดว่า Xenomorph จะยังคงพัฒนาต่อไป อันที่จริง วิธีการแบบโมดูลที่นักพัฒนานำมาใช้ช่วยให้พวกเขาเพิ่มคุณสมบัติที่รุกรานได้ง่ายขึ้น แม้แต่ตอนนี้ภัยคุกคามก็มีคำสั่งหลายคำสั่งที่อ้างถึงรูทีนการล็อกคีย์และความสามารถในการรวบรวมข้อมูลเพิ่มเติมที่ยังไม่ได้ดำเนินการอย่างสมบูรณ์