Троян Xenomorph скрывался в приложении, выдававшим себя за обычный инструмент для планирования.
Google удалила из Play Store два новых вредоносных приложения-дроппера, одно из которых выдавало себя за обычный инструмент для планирования и было замечено в распространении вредоноса под названием Xenomorph.
Согласно информации из отчета исследователей Zscaler ThreatLabz, Xenomorph – это троян, который крадет учетные данные из банковских приложений на устройствах жертв. Кроме того он способен перехватывать SMS-сообщения и уведомления на устройствах пользователей, что позволяет ему красть красть одноразовые коды аутентификации.
ИБ-специалисты Zscaler заявили, что второе приложение ведет себя похожим образом, но им не удалось определить URL-адрес, использованный злоумышленниками для доставки полезной нагрузки вредоноса.
В отчете были приведены названия вредоносных приложений:
Todo: Day manager (com.todo.daymanager)
経費キーパー (com.setprice.expenses)
Оба приложения – дропперы, т.е. используются злоумышленниками для получения полезной нагрузки, размещенной на GitHub.
Стоит отметить, что Xenomorph был впервые обнаружен специалистами компании ThreatFabric в феврале этого года. Его визитной карточкой является использование разрешений Android-приложений для проведения оверлейных атак. Более того, троян использует описание Telegram-канала для декодирования и создания C&C-домена, с помощью которого злоумышленники отправляют дополнительные команды на устройства жертв.
От классики до авангарда — наука во всех жанрах