Троян Xenomorph обнуляє рахунки найбільших банків
У троян додано нові функції, які допомогли обчистити криптогаманці та рахунки клієнтів банків.
Кіберзлочинці, які стоять за складним банківським трояном для Android під назвою Xenomorph, активно атакували користувачів у Європі більше року і нещодавно переключилися на клієнтів більш ніж 20 американських банків.
Серед основних цілей – клієнти великих фінансових установ, таких як Chase, Amex, Ally, Citi Mobile, Citizens Bank, Bank of America та Discover Mobile. Нові зразки шкідливого програмного забезпечення, проаналізовані дослідниками з ThreatFabric , також містять функції, націлені на кілька криптовалютних гаманців, включаючи Bitcoin, Binance та Coinbase.
Згідно з звітом ThreatFabric, тисячі користувачів Android у США та Іспанії з серпня завантажили шкідливе програмне забезпечення на свої пристрої. Особливо в небезпеці користувачі пристроїв Samsung та Xiaomi, що займають близько 50% ринку Android.
ThreatFabric вперше повідомив про Xenomorph у лютому 2022 року , виявивши троян, що маскується під легітимні програми в Google Play. Одне з них завантажили понад 50 000 користувачів Android.
В останній кампанії, що розпочалася у серпні 2023 року, зловмисники змінили основний метод поширення шкідливого ПЗ. Тепер Xenomorph поширюється через фішингові сайти, багато з яких видають себе за сайти оновлення Chrome або Google Play.
Особливістю останньої версії Xenomorph є складна та гнучка система автоматичного перекладу (Automatic Transfer System, ATS), що дозволяє автоматично переводити кошти із зараженого пристрою на пристрій зловмисника.
Механізм ATS містить кілька модулів, які дозволяють хакеру взяти під контроль скомпрометований пристрій та виконати різні шкідливі дії. Серед модулів є ті, які дозволяють шкідливому програмному забезпечення надавати собі всі дозволи, необхідні для безперешкодної роботи на зламаному пристрої.
Інші функції дозволяють зловмисному програмному забезпечення відключати налаштування, відхиляти попередження системи безпеки, зупиняти перезавантаження та видалення пристроїв, а також запобігати відкликанню певних привілеїв. Багато з цих функцій були присутні й у початкових версіях.
Також в нову версію Xenomorph додані можливості, які дозволяють шкідливому програмному забезпечення записувати дані в сховище і запобігати перехід скомпрометованого пристрою в режим «сну».
Дослідники безпеки ThreatFabric зробили висновок, що Xenomorph зберігає свій статус надзвичайно небезпечного банківського шкідливого ПЗ для Android, що володіє дуже універсальним і потужним двигуном ATS, з кількома вже створеними модулями та підтримкою пристроїв кількох виробників.
Вперше про Xenomorph стало відомо у лютому 2022 року. Він був націлений на 56 європейських банків, використовуючи програми-дропери, які були опубліковані в магазині Google Play. Передостання ітерація Xenomorph була призначена для понад 400 банківських та фінансових установ, включаючи кілька криптовалютних гаманців, а також мала нові опції. Завдяки їм Xenomorph може повністю автоматизувати весь ланцюжок атаки , від зараження до крадіжки засобів, що робить його одним з найпередовіших і найнебезпечніших шкідливих троянів для Android.