Операторы Android-вредоноса Xenomorph атаковали клиентов 56 банков

Новое вредоносное ПО под названием Xenomorph, распространяемое через магазин приложений Google Play Store, заразило более 50 тыс. устройств под управлением Android с целью кражи банковской информации.

Xenomorph все еще находится на ранней стадии разработки и предназначен для осуществления атак на пользователей десятков финансовых учреждений в Испании, Португалии, Италии и Бельгии.

Исследователи в области безопасности из компании ThreatFabric проанализировали вредоносное ПО Xenomorph и обнаружили код, похожий на банковский троян Alien. Таким образом, две киберугрозы могут быть связаны — Xenomorph является преемником Alien или разработчик работает над обоими проектами.

Банковские трояны, такие как Xenomorph, нацелены на кражу конфиденциальной финансовой информации, перехват контроля над учетными записями и выполнение несанкционированных транзакций.

Вредоносное ПО Xenomorph проникло в Google Play Store через общие приложения для повышения производительности, такие как Fast Cleaner, насчитывающие 50 тыс. установок. Такие утилиты — классическая приманка, используемая банковскими троянами, потому что у пользователя всегда есть интерес к инструментам, которые обещают улучшить производительность Android-устройств.

С целью обойти системы защиты во время проверки приложения в Play Store, Fast Cleaner извлекает полезную нагрузку после установки, поэтому приложение является «чистым» во время отправки в магазин.

ThreatFabric связала данное приложение с семейством дропперов Gymdrop, впервые обнаруженных в ноябре 2021 года.

В настоящее время функциональность Xenomorph не полностью раскрыта, так как троян находится в активной разработке. Тем не менее, он уже представляет собой серьезную угрозу, поскольку может выполнять свою задачу по краже информации и нацелен не менее чем на 56 различных европейских банков.

Например, вредоносное ПО может перехватывать уведомления, SMS-сообщения и внедрять команды для выполнения оверлейных атак, а также похищать учетные данные и одноразовые пароли, используемые для защиты банковских счетов.

После установки вредонос первым делом отправляет список установленных пакетов на зараженное устройство для загрузки подходящих оверлеев. Xenomorph запрашивает предоставление разрешений службы специальных возможностей при установке, а затем злоупотребляет привилегиями, чтобы предоставить себе дополнительные разрешения по мере необходимости. Вредонос содержит модули для каждого конкретного действия и может быть легко расширен для поддержки дополнительных функций.