27/09/23
Киберпреступники, стоящие за сложным банковским трояном для Android под названием Xenomorph, активно атаковали пользователей в Европе более года и недавно переключились на клиентов более чем 20-ти американских банков, пишет Securitylab.
Среди основных целей – клиенты крупных финансовых учреждений, таких как Chase, Amex, Ally, Citi Mobile, Citizens Bank, Bank of America и Discover Mobile. Новые образцы вредоносного ПО, проанализированные исследователями из ThreatFabric, также содержат функции, нацеленные на несколько криптовалютных кошельков, включая Bitcoin, Binance и Coinbase.
Согласно отчёту ThreatFabric, тысячи пользователей Android в США и Испании с августа загрузили вредоносное ПО на свои устройства. Особенно в опасности пользователи устройств Samsung и Xiaomi, занимающих около 50% рынка Android.
ThreatFabric впервые сообщил о Xenomorph в феврале 2022 года, обнаружив троян, маскирующийся под легитимные приложения в Google Play. Одно из них было загружено более 50 000 пользователей Android.
В последней кампании, начавшейся в августе 2023 года, злоумышленники изменили основной метод распространения вредоносного ПО. Теперь Xenomorph распространяется через фишинговые сайты, многие из которых выдают себя за сайты обновления Chrome или Google Play.
Особенностью последней версии Xenomorph является сложная и гибкая система автоматического перевода (Automatic Transfer System, ATS), позволяющая автоматически переводить средства с зараженного устройства на устройство злоумышленника.
Механизм ATS содержит несколько модулей, которые позволяют хакеру взять под контроль скомпрометированное устройство и выполнить различные вредоносные действия. Среди модулей есть те, которые позволяют вредоносному ПО предоставлять себе все разрешения, необходимые для беспрепятственной работы на взломанном устройстве.
Другие функции позволяют вредоносному ПО отключать настройки, отклонять предупреждения системы безопасности, останавливать перезагрузку и удаление устройств, а также предотвращать отзыв определенных привилегий. Многие из этих функций присутствовали и в первоначальных версиях.
Также в новую версию Xenomorph добавлены возможности, которые позволяют вредоносному ПО записывать данные в хранилище и предотвращать переход скомпрометированного устройства в режим «сна».
Исследователи безопасности ThreatFabric заключили, что Xenomorph сохраняет свой статус чрезвычайно опасного банковского вредоносного ПО для Android, обладающего очень универсальным и мощным движком ATS, с несколькими уже созданными модулями и поддержкой устройств нескольких производителей.
Впервые о Xenomorph стало известно в феврале 2022 года. Он был нацелен на 56 европейских банков, используя приложения-дропперы, которые были опубликованы в магазине Google Play. Предпоследняя итерация Xenomorph была предназначена для более 400 банковских и финансовых учреждений, включая несколько криптовалютных кошельков, а также обладала новыми опциями. Благодаря им Xenomorph может п олностью автоматизировать всю цепочку атаки, от заражения до кражи средств, что делает его одним из самых передовых и опасных вредоносных троянов для Android.
