A biztonsági szakértők közelmúltbeli felfedezése felfedte egy olyan rosszindulatú program létezését, amely kifejezetten az Egyesült Államokban, Kanadában, Olaszországban, Portugáliában, Spanyolországban és Belgiumban az Android felhasználókat célozza meg.
A Xenomorph néven ismert, rendkívül fejlett Android banki trójai elkövetői több mint egy éve következetesen az európai felhasználók felé irányítják erőfeszítéseiket. A közelmúltban azonban kiterjesztették tevékenységüket több mint 25 amerikai pénzintézet fogyasztóira.
A Xenomorph visszatért, és ez az iteráció még halálosabb, mint valaha. Elemzők szerint most komolyabb veszély, több mint 100 pénzügyi és kriptovaluta alkalmazásra terjedt el.
Adathalász taktika és rosszindulatú programok terjesztése
A jelenlegi Xenomorph kampány augusztus közepén kezdődött a ThreatFabric kiberbiztonsági cég elemzői szerint, akik 2022 februárja óta figyelik a kártevő tevékenységét.
A rosszindulatú programok szerzőinek legújabb kampánya olyan adathalász URL-eket tartalmaz, amelyek arra ösztönzik a felhasználókat, hogy frissítsék Chrome böngészőjüket, és töltsék le a veszélyes APK-t. A rosszindulatú program még mindig overlay technikákat használ az adatok gyűjtésére, de most már az amerikai bankok és számos kriptovaluta-alkalmazás nyomába ered.
A ThreatFabric elemzői az üzemeltető laza biztonsági eljárásait kihasználva hozzáfértek a rosszindulatú programok üzemeltetőjének hasznos terhelési infrastruktúrájához.
A mai napon a kriptovaluták piaci felső határa 1.02 billió dollár volt. Grafikon: TradingView.com
A kártevő Private Loader-je, a Windows információtolvajok, a RisePro és a LummaC2, valamint a Medusa és a Cabassous Android-verziók a többi káros rakomány között, amelyeket ott találtak.
A Xenomorph legújabb iterációjának figyelemre méltó jellemzője a fejlett és alkalmazkodó automatikus mozgásrendszer (ATS) struktúrája, amely megkönnyíti a készpénz automatikus mozgatását egy feltört eszközről a támadó által irányított eszközre.
Xenomorph Goes After Banks
A Xenomorph rosszindulatú program ATS-motorja számos olyan modullal rendelkezik, amelyek lehetővé teszik a fenyegetés szereplői számára, hogy irányítást szerezzenek a feltört eszközök felett, és számos rosszindulatú tevékenységet hajtsanak végre.
A kártevő a Chase, az Amex, az Ally, a Citi Mobile, a Citizens Bank, a Bank of America és a Discover Mobile fogyasztókat célozza meg. A ThreatFabric kutatói új trójai mintákat találtak, amelyek a Bitcoint, a Binance-t és a Coinbase-t célozzák.
A Xenomorph bankvírus 56 elején 2022 olyan európai bankot célzott meg, amelyek képernyőfedő adathalászatot alkalmaztak. A Google Play több mint 50,000 XNUMX felhasználóhoz juttatta el.
Hadoken Security: The Malware Brains
A mögötte álló cég, a „Hadoken Security” továbbfejlesztette a vírust, és 2022 júniusában kiadott egy moduláris, rugalmas verziót. A Xenomorph a 10 legnagyobb banki trójai egyike volt, és ekkor már a Zimperium „főbb fenyegetése”.
A demográfiai jellemzőktől függően minden Xenomorph minta körülbelül száz fedvényt tartalmaz, amelyek különböző bankokat és kriptovaluta alkalmazásokat céloznak meg.
Mindeközben a felhasználóknak óvatosnak kell lenniük, amikor mobilböngészőik frissítését kérik, mivel ezek a kérések gyakran rejtett kémprogramok.
Kiemelt kép a Bleeping Computertől
Forrás: https://bitcoinist.com/xenomorph-malware-attacks-us-crypto-community/