Вредоносная программа Xenomorph для Android теперь крадет данные пользователей 400 банков

Авторы вредоносной программы Xenomorph для Android выпустили новую версию зловреда. В него добавлены значительные возможности для проведения вредоносных атак, в том числе новая структура автоматизированной системы передачи (ATS) и возможность кражи учетных данных для 400 банков.

Вредоносная программа Xenomorph для Android теперь крадет данные из 400 банков. Фото: из архива ThreatFabric

Xenomorph был впервые обнаружен исследователями ThreatFabric в феврале 2022 года в магазине Google Play, где он был скачан более 50 000 раз.

Первая версия предназначалась для кражи пользовательской информации 56 европейских банков. Зловред использовал инъекции для оверлейных атак и злоупотребляли разрешениями Accessibility Services для перехвата уведомлений с целью кражи одноразовых кодов.

Разработка вредоносного ПО продолжалась в течение 2022 года «Хадокен Секьюрити», но его новые выпуски никогда не распространялись в больших объемах.

У Xenomorph v2, выпущенного в июне 2022 года, были только короткие всплески тестовой активности. Однако вторая версия отличалась полной переработкой кода, что сделало его более модульным и гибким.

Xenomorph v3 гораздо более эффективен и совершенен, чем предыдущие версии, он может автоматически красть данные, включая учетные данные, остатки на счетах, выполнять банковские транзакции и завершать переводы средств.

Из сообщения ThreatFabric

«Благодаря этим новым функциям Xenomorph теперь может полностью автоматизировать всю цепочку мошенничества, от заражения до кражи средств, что делает его одним из самых передовых и опасных вредоносных троянов для Android в обращении».

Вероятно, группа «Хадокен» планирует продавать Xenomorph операторам через платформу MaaS (вредоносное ПО как услуга), и запуск веб-сайта, рекламирующего новую версию вредоносного ПО, подтверждает эту гипотезу.

В настоящее время Xenomorph v3 распространяется через платформу «Zombinder» в магазине Google Play, выдавая себя за конвертер валют и переключаясь на использование значка Play Protect после установки вредоносной полезной нагрузки.

Последняя версия Xenomorph нацелена на кражу информации 400 финансовых учреждений, в основном из США, Испании, Турции, Польши, Австралии, Канады, Италии, Португалии, Франции, Германии, ОАЭ и Индии.

Список банков включает Chase, Citibank, American Express, ING, HSBC, Deutsche Bank, Wells Fargo, Amex, Citi, BNP, UniCredit, Национальный банк Канады, BBVA, Santander и Caixa и другие.

Кроме того, вредоносное ПО нацелено на пользователей 13 криптовалютных кошельков, включая Binance, BitPay, KuCoin, Gemini и Coinbase.

Наиболее примечательной функцией в новой версии Xenomorph, является структура ATS, которая позволяет киберпреступникам автоматически извлекать учетные данные, проверять баланс счета, проводить транзакции и красть деньги из целевых приложений без выполнения удаленных действий.

Вместо этого оператор просто отправляет JSON-скрипты, которые Xenomorph преобразует в список операций и выполняет их автономно на зараженном устройстве.

Из сообщения исследователей безопасности:

«Механизм [выполнения ATS], используемый Xenomorph, выделяется среди своих конкурентов благодаря широкому выбору возможных действий, которые программируются и могут быть включены в сценарии ATS, в дополнение к системе, которая позволяет выполнять условное выполнение и устанавливать приоритеты действий».

Одной из самых впечатляющих возможностей платформы ATS вредоносного ПО является ее способность регистрировать содержимое сторонних приложений аутентификации, преодолевая защиту MFA (многофакторная аутентификация), которая в противном случае блокировала бы автоматические транзакции.

Банки постепенно отказываются от SMS MFA и вместо этого предлагают клиентам использовать приложения для аутентификации, поэтому способность Xenomorph получать доступ к этим приложениям на том же устройстве вызывает тревогу.

Новый Xenomorph также имеет похититель файлов cookie, который может извлекать файлы cookie из Android CookieManager, в котором хранятся файлы cookie сеанса пользователя.

Похититель запускает окно браузера с URL-адресом законного сервиса с включенным интерфейсом ЯваСкрипт, обманом заставляя жертву ввести свои данные для входа.

Злоумышленники крадут файл cookie, что позволяет перехватить веб-сеансы жертвы и завладеть ее учетными записями.

Xenomorph - большая угроза для пользователей Android во всем мире. Учитывая его текущий канал распространения Zombinder, пользователям следует быть осторожными с приложениями, которые они устанавливают из Google Play, читать обзоры и проверять данные издателя.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме