Android bankarski trojanac Xenomorph se krije iza lažnih zahteva za ažuriranje Google Chromea

Mobilni telefoni, 26.09.2023, 10:30 AM

Istraživači bezbednosti iz kompanije ThreatFabric primetili su novu kampanju u kojoj se distribuira malver Xenomorph koji cilja korisnike Android uređaja u SAD, Kanadi, Španiji, Italiji, Portugaliji i Belgiji.

Bankarski trojanac Xenomorph se prvi put pojavio početkom prošle godine kada je ciljao 56 evropskih banaka. Malver je tada otkriven u Google Play prodavnici, u aplikaciji za poboljšanje performansi Android uređaja „Fast Cleaner“, koja je imala više od 50.000 instalacija.

Autori malvera „Hadoken Security“ nastavili su da razvijaju malver i u junu prošle godine objavili su verziju koja je malver učinila modularnim i fleksibilnijim.

Od tada je Xenomorph postao jedan od 10 najaktivnijih bankarskih trojanaca i jedna od najozbiljnijih pretnji Android ekosistemu.

U avgustu prošle godine, Xenomorph je počeo da se distribuira preko novog droppera pod nazivom „BugDrop“ koji je zaobilazio bezbednosne funkcije u Androidu 13.

U decembru 2022., primećena je nova platforma za distribuciju malvera nazvana „Zombinder“, koja je malver ugrađivala u APK fajl legitimnih Android aplikacija.

U martu ove godine objavljena je treća verzija Xenomorpha sa automatizovanim sistemom prenosa (ATS) za autonomne transakcije na uređaju. Ova verzija malvera može da zaobiđe MFA, krade kolačiće i cilja više od 400 banaka.

U najnovijoj kampanji koriste se fišing stranice koje treba da prevare potencijalne žrtve da ažuriraju Google Chrome. Misleći da preuzimaju ažuriranje za Chrome, žrtve zapravo preuzimaju zlonamerni APK fajl.

Iako se novi uzorci Xenomorpha ne razlikuju mnogo od ranije otkrivenih varijanti, neke funkcije malvera koje se prvi put pojavljuju ukazuju na to njegovi autori nastavljaju sa usavršavanjem malvera.

Jedna od novina je funkcija koja se aktivira odgovarajućom komandom a koja daje malveru mogućnost da deluje kao druga aplikacija.

Još jedna nova funkcija je „ClickOnPoint“, koja omogućava napadačima da simuliraju dodire na ekranu i tako prođu kroz ekrane za potvrdu ili da izvrše druge jednostavne radnje bez upotrebe celog ATS modula, što bi moglo da izazove bezbednosna upozorenja.

Tu je i novi sistem „antisleep“ koji sprečava isključivanje ekrana putem aktivnog obaveštenja, što sprečava prekide koji zahtevaju ponovno uspostavljanje komunikacije sa serverom za komandu i kontrolu.

Zahvaljujućim slabim bezbednosnim merama operatera Xenomorpha, analitičari ThreatFabrica su mogli da pristupe njihovoj infrastrukturi za hostovanje i tamo otkrili druge malvere, uključujući Android malvere Medusa i Cabassous, Windows malvere za krađu informacija RisePro i LummaC2 i malver koji učitava druge malvere Private Loader.

Korisnici bi trebalo da budu oprezni sa upitima na mobilnim uređajima da ažuriraju svoje pregledače, jer su oni verovatno deo kampanja za distribuciju malvera.

Foto: Pathum Danthanarayana / Unsplash