Android bankarski trojanac Xenomorph se krije iza lažnih zahteva za ažuriranje Google Chromea

Mobilni telefoni, 26.09.2023, 10:30 AM

Android bankarski trojanac Xenomorph se krije iza lažnih zahteva za ažuriranje Google Chromea

Istraživači bezbednosti iz kompanije ThreatFabric primetili su novu kampanju u kojoj se distribuira malver Xenomorph koji cilja korisnike Android uređaja u SAD, Kanadi, Španiji, Italiji, Portugaliji i Belgiji.

Bankarski trojanac Xenomorph se prvi put pojavio početkom prošle godine kada je ciljao 56 evropskih banaka. Malver je tada otkriven u Google Play prodavnici, u aplikaciji za poboljšanje performansi Android uređaja „Fast Cleaner“, koja je imala više od 50.000 instalacija.

Autori malvera „Hadoken Security“ nastavili su da razvijaju malver i u junu prošle godine objavili su verziju koja je malver učinila modularnim i fleksibilnijim.

Od tada je Xenomorph postao jedan od 10 najaktivnijih bankarskih trojanaca i jedna od najozbiljnijih pretnji Android ekosistemu.

U avgustu prošle godine, Xenomorph je počeo da se distribuira preko novog droppera pod nazivom „BugDrop“ koji je zaobilazio bezbednosne funkcije u Androidu 13.

U decembru 2022., primećena je nova platforma za distribuciju malvera nazvana „Zombinder“, koja je malver ugrađivala u APK fajl legitimnih Android aplikacija.

U martu ove godine objavljena je treća verzija Xenomorpha sa automatizovanim sistemom prenosa (ATS) za autonomne transakcije na uređaju. Ova verzija malvera može da zaobiđe MFA, krade kolačiće i cilja više od 400 banaka.

U najnovijoj kampanji koriste se fišing stranice koje treba da prevare potencijalne žrtve da ažuriraju Google Chrome. Misleći da preuzimaju ažuriranje za Chrome, žrtve zapravo preuzimaju zlonamerni APK fajl.

Iako se novi uzorci Xenomorpha ne razlikuju mnogo od ranije otkrivenih varijanti, neke funkcije malvera koje se prvi put pojavljuju ukazuju na to njegovi autori nastavljaju sa usavršavanjem malvera.

Jedna od novina je funkcija koja se aktivira odgovarajućom komandom a koja daje malveru mogućnost da deluje kao druga aplikacija.

Još jedna nova funkcija je „ClickOnPoint“, koja omogućava napadačima da simuliraju dodire na ekranu i tako prođu kroz ekrane za potvrdu ili da izvrše druge jednostavne radnje bez upotrebe celog ATS modula, što bi moglo da izazove bezbednosna upozorenja.

Tu je i novi sistem „antisleep“ koji sprečava isključivanje ekrana putem aktivnog obaveštenja, što sprečava prekide koji zahtevaju ponovno uspostavljanje komunikacije sa serverom za komandu i kontrolu.

Zahvaljujućim slabim bezbednosnim merama operatera Xenomorpha, analitičari ThreatFabrica su mogli da pristupe njihovoj infrastrukturi za hostovanje i tamo otkrili druge malvere, uključujući Android malvere Medusa i Cabassous, Windows malvere za krađu informacija RisePro i LummaC2 i malver koji učitava druge malvere Private Loader.

Korisnici bi trebalo da budu oprezni sa upitima na mobilnim uređajima da ažuriraju svoje pregledače, jer su oni verovatno deo kampanja za distribuciju malvera.

Foto: Pathum Danthanarayana / Unsplash


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi Android bankovni trojanac Antidot se predstavlja kao aplikacija za ažuriranje Google Play-a

Novi Android bankovni trojanac Antidot se predstavlja kao aplikacija za ažuriranje Google Play-a

Istraživači bezbednosti iz Cyble Research and Intelligence Labs (CRIL) otkrili su novog bankarskog trojanca koji cilja Android uređaje. U izveštaj... Dalje

Android dobija zaštitu od krađe podataka za ukradene i izgubljene telefone

Android dobija zaštitu od krađe podataka za ukradene i izgubljene telefone

Google je najavio da uvodi nekoliko funkcija za zaštitu podataka od krađe, od kojih će neke biti dostupne samo za Android 15+ uređaje, dok će dr... Dalje

Google najavio nove funkcije za zaštitu od prevara i malvera na Androidu

Google najavio nove funkcije za zaštitu od prevara i malvera na Androidu

Google je ove nedelje održao godišnju konferenciju za programere, na kojoj je najavio nove bezbednosne funkcije za zaštitu od prevara koje dolaze u... Dalje

Lažne aplikacije Google, Instagram, Snapchat, WhatsApp i X kradu lozinke sa zaraženih telefona

Lažne aplikacije Google, Instagram, Snapchat, WhatsApp i X kradu lozinke sa zaraženih telefona

Android aplikacije koje se predstavljaju kao Google, Instagram, Snapchat, WhatsApp i X, kradu lozinke korisnika sa zaraženih telefona. Istraživači ... Dalje

Google je prošle godine sprečio objavljivanje 2,3 miliona potencijalno opasnih Android aplikacija na Google Play

Google je prošle godine sprečio objavljivanje 2,3 miliona potencijalno opasnih Android aplikacija na Google Play

Google je objavio da je prošle godine blokirao objavljivanje 2,28 miliona Android aplikacija na Google Play zbog toga što su kršile različite smer... Dalje