Android bankarski trojanac Xenomorph se krije iza lažnih zahteva za ažuriranje Google Chromea

Mobilni telefoni, 26.09.2023, 10:30 AM

Android bankarski trojanac Xenomorph se krije iza lažnih zahteva za ažuriranje Google Chromea

Istraživači bezbednosti iz kompanije ThreatFabric primetili su novu kampanju u kojoj se distribuira malver Xenomorph koji cilja korisnike Android uređaja u SAD, Kanadi, Španiji, Italiji, Portugaliji i Belgiji.

Bankarski trojanac Xenomorph se prvi put pojavio početkom prošle godine kada je ciljao 56 evropskih banaka. Malver je tada otkriven u Google Play prodavnici, u aplikaciji za poboljšanje performansi Android uređaja „Fast Cleaner“, koja je imala više od 50.000 instalacija.

Autori malvera „Hadoken Security“ nastavili su da razvijaju malver i u junu prošle godine objavili su verziju koja je malver učinila modularnim i fleksibilnijim.

Od tada je Xenomorph postao jedan od 10 najaktivnijih bankarskih trojanaca i jedna od najozbiljnijih pretnji Android ekosistemu.

U avgustu prošle godine, Xenomorph je počeo da se distribuira preko novog droppera pod nazivom „BugDrop“ koji je zaobilazio bezbednosne funkcije u Androidu 13.

U decembru 2022., primećena je nova platforma za distribuciju malvera nazvana „Zombinder“, koja je malver ugrađivala u APK fajl legitimnih Android aplikacija.

U martu ove godine objavljena je treća verzija Xenomorpha sa automatizovanim sistemom prenosa (ATS) za autonomne transakcije na uređaju. Ova verzija malvera može da zaobiđe MFA, krade kolačiće i cilja više od 400 banaka.

U najnovijoj kampanji koriste se fišing stranice koje treba da prevare potencijalne žrtve da ažuriraju Google Chrome. Misleći da preuzimaju ažuriranje za Chrome, žrtve zapravo preuzimaju zlonamerni APK fajl.

Iako se novi uzorci Xenomorpha ne razlikuju mnogo od ranije otkrivenih varijanti, neke funkcije malvera koje se prvi put pojavljuju ukazuju na to njegovi autori nastavljaju sa usavršavanjem malvera.

Jedna od novina je funkcija koja se aktivira odgovarajućom komandom a koja daje malveru mogućnost da deluje kao druga aplikacija.

Još jedna nova funkcija je „ClickOnPoint“, koja omogućava napadačima da simuliraju dodire na ekranu i tako prođu kroz ekrane za potvrdu ili da izvrše druge jednostavne radnje bez upotrebe celog ATS modula, što bi moglo da izazove bezbednosna upozorenja.

Tu je i novi sistem „antisleep“ koji sprečava isključivanje ekrana putem aktivnog obaveštenja, što sprečava prekide koji zahtevaju ponovno uspostavljanje komunikacije sa serverom za komandu i kontrolu.

Zahvaljujućim slabim bezbednosnim merama operatera Xenomorpha, analitičari ThreatFabrica su mogli da pristupe njihovoj infrastrukturi za hostovanje i tamo otkrili druge malvere, uključujući Android malvere Medusa i Cabassous, Windows malvere za krađu informacija RisePro i LummaC2 i malver koji učitava druge malvere Private Loader.

Korisnici bi trebalo da budu oprezni sa upitima na mobilnim uređajima da ažuriraju svoje pregledače, jer su oni verovatno deo kampanja za distribuciju malvera.

Foto: Pathum Danthanarayana / Unsplash


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

NSO grupa kažnjena sa 168 miliona dolara zbog špijuniranja korisnika WhatsApp-a

NSO grupa kažnjena sa 168 miliona dolara zbog špijuniranja korisnika WhatsApp-a

Proizvođač špijunskog softvera NSO grupa moraće da plati WhatsApp-u skoro 168 miliona dolara, više od četiri meseca nakon što je američki sud ... Dalje

Hakovana nezvanična verzija aplikacije Signal koju su koristili Trampovi saradnici

Hakovana nezvanična verzija aplikacije Signal koju su koristili Trampovi saradnici

TeleMessage, izraelska kompanija koja pruža usluge arhiviranja poruka za preduzeća i državne entitete, uključujući alate za arhiviranje poruka ... Dalje

Polovina svih mobilnih uređaja radi na zastarelim operativnim sistemima

Polovina svih mobilnih uređaja radi na zastarelim operativnim sistemima

Polovina svih mobilnih uređaja radi na zastarelim operativnim sistemima, što ih čini veoma ranjivim na sajber napade. Ovo je podatak iz izveštaja ... Dalje

Bag u iOS može da blokira iPhone slanjem zlonamernih notifikacija

Bag u iOS može da blokira iPhone slanjem zlonamernih notifikacija

Programer aplikacija i istraživač bezbednosti Giljerme Rembo otkrio je ranjivost u iOS-u koja može omogućiti napadačima da daljinski blokiraju i... Dalje

WhatsApp uvodi novu opciju za zaštitu privatnosti

WhatsApp uvodi novu opciju za zaštitu privatnosti

WhatsApp je uveo novu funkciju za zaštitu privatnosti pod nazivom „Advanced Chat Privacy“ koja omogućava korisnicima da spreče učesni... Dalje