Prikaži glavni meni

Bankovni trojanac za Android Xenomorph se vratio sa novom verzijom, i sada je opasniji nego ikada pre

Mobilni telefoni, 13.03.2023, 09:00 AM

Istraživači holandske kompanije ThreatFabric primetili su novu verziju bankovnog trojanca za Android Xenomorph, koju su njeni tvorci, Hadoken Security Group, nazvali „Xenomorph 3. generacije“.

Xenomorph je prvi put primećen u februaru 2022. godine, kada je utvrđeno da cilja korisnike 56 evropskih banaka. Malver se tada distribuirao preko dropper aplikacije za poboljšanje performansi uređaja nazvane „Fast Cleaner“, koja je iz Google Play prodavnice preuzeta 50.000 puta. Ta aplikacija je bila klasični mamac koji koriste bankovni trojanci jer uvek postoji interesovanje među korisnicima za aplikacije koje obećavaju poboljšanje performansi Android uređaja. Kako bi prošla provere Play prodavnice, aplikacija Fast Cleaner preuzimala je malver tek nakon instalacije.

Prva verzija je zloupotrebljavala usluge pristupačnosti Androida (Accessibility Services), za koje je dozvolu morala da dobije od korisnika, a zatim je to koristila da bi sebi omogućila dodatne dozvole po potrebi. Malver je prikazivao lažne ekrane za prijavu preko ciljanih aplikacija banaka da bi ukrao lozinke i druge lične podatke žrtava.

Razvoj malvera je nastavljen tokom 2022., ali njegova sledeća verzija nikada nije distriburana masovno.

Xenomorph v3 je daleko moćniji i zreliji od prethodnih verzija, i sposoban je da automatski krade podatke, uključujući akreditive i stanje na računu, da obavlja finansijske transakcije i finalizira transfere sredstava.

„Sa ovim novim funkcijama, Xenomorph je sada u mogućnosti da kompletira ceo lanac prevare, od infekcije do eksfiltracije sredstava, što ga čini jednim od najnaprednijih i najopasnijih Android trojanaca u opticaju“, upozorio je ThreatFabric.

Hadoken verovatno planira da proda Xenomorph preko platforme MaaS (malver kao usluga), a pokretanje veb sajta koja promoviše novu verziju malvera govori u prilog ove hipoteze.

Trenutno se Xenomorph v3 distribuira preko platforme „Zombinder“ u Google Play prodavnici, predstavljajući se kao konvertor valuta a nakon instaliranja koristi ikonicu Play Protect.

Malver sada može da ukrade akreditive za više od 400 banaka i novčanika za kriptovalute. Banke čije aplikacije cilja malver su uglavnom iz Sjedinjenih Država, Španije, Turske, Poljske, Australije, Kanade, Italije, Portugalije, Francuske, Nemačke, UAE i Indije.

Malver cilja i 13 novčanika za kriptovalute, uključujući Binance, BitPay, KuCoin, Gemini i Coinbase.

Jedna od najupečatljivijih karakteristika nove verzije Xenomorpha je njena sposobnost da evidentira sadržaj aplikacija za autentifikaciju, što omogućava malveru da savlada zaštite multifaktorne autentifikacije koje bi inače automatski blokirale transakcije. Kako banke postepeno napuštaju SMS MFA i umesto toga predlažu da klijenti koriste aplikacije za autentifikaciju, mogućnost Xenomorpha da pristupi ovim aplikacijama na istom uređaju deluje vrlo uznemirujuće.

Pored svega navedenog, novi Xenomorph može da krade kolačiće iz Android CookieManagera, koji čuva kolačiće veb sesija korisnika. Zatim pokreće prozor pretraživača sa URL-om legitimne usluge sa omogućenim JavaScript interfejsom, navodeći žrtvu da unese svoje podatke za prijavu. Ovo omogućava napadačima preuzimanje veb sesija žrtve, kao i njenih naloga.

Uzimajući u obzir njegov trenutni kanal distribucije, platformu Zombinder koja se koristi za povezivanje malvera i legitimnih aplikacija, korisnici bi trebalo da budu oprezni sa aplikacijama koje instaliraju sa Google Play, da čitaju recenzije i proveravaju reputaciju izdavača.

Preporučljivo je da broj aplikacija instaliranih na telefonu bude što je moguće manji i da instalirate aplikacije samo poznatih i pouzdanih programera.