Вредоносная программа Xenomorph для Android теперь крадет данные пользователей 400 банков
Вредоносная программа Xenomorph для Android теперь крадет данные из 400 банков. Фото: из архива ThreatFabric
Xenomorph был впервые обнаружен исследователями ThreatFabric в феврале 2022 года в магазине Google Play, где он был скачан более 50 000 раз.
Первая версия предназначалась для кражи пользовательской информации 56 европейских банков. Зловред использовал инъекции для оверлейных атак и злоупотребляли разрешениями Accessibility Services для перехвата уведомлений с целью кражи одноразовых кодов.
Разработка вредоносного ПО продолжалась в течение 2022 года «Хадокен Секьюрити», но его новые выпуски никогда не распространялись в больших объемах.
У Xenomorph v2, выпущенного в июне 2022 года, были только короткие всплески тестовой активности. Однако вторая версия отличалась полной переработкой кода, что сделало его более модульным и гибким.
Xenomorph v3 гораздо более эффективен и совершенен, чем предыдущие версии, он может автоматически красть данные, включая учетные данные, остатки на счетах, выполнять банковские транзакции и завершать переводы средств.
Из сообщения ThreatFabric
«Благодаря этим новым функциям Xenomorph теперь может полностью автоматизировать всю цепочку мошенничества, от заражения до кражи средств, что делает его одним из самых передовых и опасных вредоносных троянов для Android в обращении».
Вероятно, группа «Хадокен» планирует продавать Xenomorph операторам через платформу MaaS (вредоносное ПО как услуга), и запуск веб-сайта, рекламирующего новую версию вредоносного ПО, подтверждает эту гипотезу.
В настоящее время Xenomorph v3 распространяется через платформу «Zombinder» в магазине Google Play, выдавая себя за конвертер валют и переключаясь на использование значка Play Protect после установки вредоносной полезной нагрузки.
Последняя версия Xenomorph нацелена на кражу информации 400 финансовых учреждений, в основном из США, Испании, Турции, Польши, Австралии, Канады, Италии, Португалии, Франции, Германии, ОАЭ и Индии.
Список банков включает Chase, Citibank, American Express, ING, HSBC, Deutsche Bank, Wells Fargo, Amex, Citi, BNP, UniCredit, Национальный банк Канады, BBVA, Santander и Caixa и другие.
Кроме того, вредоносное ПО нацелено на пользователей 13 криптовалютных кошельков, включая Binance, BitPay, KuCoin, Gemini и Coinbase.
Наиболее примечательной функцией в новой версии Xenomorph, является структура ATS, которая позволяет киберпреступникам автоматически извлекать учетные данные, проверять баланс счета, проводить транзакции и красть деньги из целевых приложений без выполнения удаленных действий.
Вместо этого оператор просто отправляет JSON-скрипты, которые Xenomorph преобразует в список операций и выполняет их автономно на зараженном устройстве.
Из сообщения исследователей безопасности:
«Механизм [выполнения ATS], используемый Xenomorph, выделяется среди своих конкурентов благодаря широкому выбору возможных действий, которые программируются и могут быть включены в сценарии ATS, в дополнение к системе, которая позволяет выполнять условное выполнение и устанавливать приоритеты действий».
Одной из самых впечатляющих возможностей платформы ATS вредоносного ПО является ее способность регистрировать содержимое сторонних приложений аутентификации, преодолевая защиту MFA (многофакторная аутентификация), которая в противном случае блокировала бы автоматические транзакции.
Банки постепенно отказываются от SMS MFA и вместо этого предлагают клиентам использовать приложения для аутентификации, поэтому способность Xenomorph получать доступ к этим приложениям на том же устройстве вызывает тревогу.
Новый Xenomorph также имеет похититель файлов cookie, который может извлекать файлы cookie из Android CookieManager, в котором хранятся файлы cookie сеанса пользователя.
Похититель запускает окно браузера с URL-адресом законного сервиса с включенным интерфейсом ЯваСкрипт, обманом заставляя жертву ввести свои данные для входа.
Злоумышленники крадут файл cookie, что позволяет перехватить веб-сеансы жертвы и завладеть ее учетными записями.
Xenomorph - большая угроза для пользователей Android во всем мире. Учитывая его текущий канал распространения Zombinder, пользователям следует быть осторожными с приложениями, которые они устанавливают из Google Play, читать обзоры и проверять данные издателя.
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было