Nedávny objav bezpečnostných expertov odhalil existenciu malvéru, ktorý sa špecificky zameriava na používateľov systému Android v USA, Kanade, Taliansku, Portugalsku, Španielsku a Belgicku.
Známi ako Xenomorph, páchatelia stojaci za týmto vysoko pokročilým trojanom pre Android banking už viac ako rok sústavne zameriavajú svoje úsilie na európskych používateľov. Nedávno však rozšírili svoje operácie o spotrebiteľov viac ako 25 amerických finančných inštitúcií.
Xenomorph sa vrátil a táto iterácia je ešte smrteľnejšia ako kedykoľvek predtým. Teraz je to vážnejšie nebezpečenstvo, podľa analytikov sa rozšírilo do viac ako 100 finančných a kryptomenových aplikácií.
Taktika phishingu a distribúcia škodlivého softvéru
Aktuálna kampaň Xenomorph začala v polovici augusta, podľa analytikov spoločnosti ThreatFabric zaoberajúcej sa kybernetickou bezpečnosťou, ktorí monitorujú aktivitu malvéru od februára 2022.
Najnovšia kampaň autorov škodlivého softvéru zahŕňa phishingové adresy URL, ktoré povzbudzujú používateľov, aby aktualizovali svoje prehliadače Chrome a stiahli nebezpečný súbor APK. Malvér stále používa na zhromažďovanie údajov techniky prekrývania, ale teraz ide po amerických bankách a rôznych aplikáciách pre kryptomeny.
Analytici ThreatFabric získali prístup k hostiteľskej infraštruktúre prevádzkovateľa malvéru využitím laxných bezpečnostných postupov prevádzkovateľa.
Trhová kapitalizácia kryptomien bola k dnešnému dňu na úrovni 1.02 bilióna dolárov. Graf: TradingView.com
Súkromný zavádzač škodlivého softvéru, zlodeji informácií systému Windows RisePro a LummaC2 a verzie škodlivého softvéru pre Android Medusa a Cabassous patrili k ďalším škodlivým nákladom, ktoré tam našli.
Pozoruhodná charakteristika najnovšej iterácie Xenomorphu sa týka jeho pokročilej a prispôsobivej štruktúry automatického pohybového systému (ATS), ktorá uľahčuje automatizovaný presun hotovosti z napadnutého zariadenia na zariadenie ovládané útočníkom.
Xenomorph ide po bankách
ATS engine malvéru Xenomorph má niekoľko modulov, ktoré umožňujú aktérom hrozby získať kontrolu nad napadnutými zariadeniami a vykonávať celý rad škodlivých aktivít.
Malvér sa zameriava na spotrebiteľov Chase, Amex, Ally, Citi Mobile, Citizens Bank, Bank of America a Discover Mobile. Výskumníci ThreatFabric našli nové vzorky trójskych koní, ktoré sa zameriavajú na Bitcoin, Binance a Coinbase.
Bankový vírus Xenomorph sa začiatkom roka 56 zameral na 2022 európskych bánk využívajúcich phishing s prekrytím obrazovky. Google Play ho doručil viac ako 50,000 XNUMX používateľom.
Hadoken Security: The Malware Brains
Spoločnosť, ktorá za tým stojí, „Hadoken Security“, vylepšila vírus a vydala modulárnu, flexibilnú verziu v júni 2022. Xenomorph bol v tom čase jedným z 10 najlepších bankových trójskych koní a „hlavnou hrozbou“ Zimperia.
V závislosti od demografickej skupiny má každá vzorka Xenomorph asi sto prekrytí, ktoré sa zameriavajú na rôzne banky a aplikácie kryptomien.
Používatelia by medzitým mali byť opatrní, keď sú vyzvaní na inováciu svojich mobilných prehliadačov, pretože tieto požiadavky sú často skrytým spywarom.
Odporúčaný obrázok z Bleeping Computer
Zdroj: https://bitcoinist.com/xenomorph-malware-attacks-us-crypto-community/