Вредоносная программа Xenomorph для Android теперь крадет данные из 400 банков

10.03.2023

В новую версию вредоносной программы Xenomorph для Android добавлены значительные возможности для проведения вредоносных атак, включая новую платформу автоматизированной системы переводов (ATS) и возможность кражи учетных данных для 400 банков.

Xenomorph был впервые замечен ThreatFabric в феврале 2022 года, которая обнаружила первую версию банковского трояна в Google Play Store, где он набрал более 50 000 загрузок.

Эта первая версия была нацелена на 56 европейских банков, использовала инъекции для оверлейных атак и разрешения Accessibility Services для перехвата уведомлений с целью кражи одноразовых кодов.

Разработка вредоносной программы продолжалась в течение 2022 года ее авторами, “Hadoken Security”, но ее новые версии никогда не распространялись в больших объемах.

Релиз Xenomorph v2, который был выпущен в июне 2022 года, имел лишь короткие всплески тестовой активности в сети. Однако вторая версия отличалась полной переработкой кода, которая сделала ее более модульной и гибкой.

Xenomorph v3 гораздо более мощный и зрелый, чем предыдущие версии, способный автоматически красть данные, включая учетные данные, остатки на счетах, выполнять банковские транзакции и завершать переводы средств.

"Благодаря этим новым функциям Xenomorph теперь может полностью автоматизировать всю цепочку мошенничества, от заражения до вывода средств, что делает его одним из самых продвинутых и опасных троянов для Android, находящихся в обращении", - предупреждает ThreatFabric.

ThreatFabric сообщает, что, вероятно, Hadoken планирует продавать Xenomorph операторам через платформу MaaS (malware as a service), и запуск веб-сайта, рекламирующего новую версию вредоносного ПО, подтверждает эту гипотезу.

Веб-сайт, продвигающий Xenomorph v3 (Threat Fabric)

В настоящее время Xenomorph v3 распространяется через платформу "Zombinder" в Google Play Store, выдавая себя за конвертер валют и переключаясь на использование значка Play Protect после установки вредоносной полезной нагрузки.

Новые цели Xenomorph

Последняя версия Xenomorph нацелена на 400 финансовых учреждений, в основном из Соединенных Штатов, Испании, Турции, Польши, Австралии, Канады, Италии, Португалии, Франции, Германии, ОАЭ и Индии.

Количество банков, подверженных атаке, по странам (ThreatFabric)

В качестве примеров можно назвать такие танки, как Chase, Citibank, American Express, ING, HSBC, Deutsche Bank, Wells Fargo, Amex, Citi, BNP, UniCredit, Национальный банк Канады, BBVA, Santander и Caixabank.

Список слишком обширен, чтобы включать его здесь, но Threat Fabric перечислила все банки-мишени в приложении к своему отчету.

Более того, вредоносная программа нацелена на 13 криптовалютных кошельков, включая Binance, BitPay, KuCoin, Gemini и Coinbase.

Автоматический обход MFA

Наиболее заметной функцией, представленной в новой версии Xenomorph, является платформа ATS, которая позволяет киберпреступникам автоматически извлекать учетные данные, проверять баланс счетов, проводить транзакции и красть деньги из целевых приложений без выполнения удаленных действий.

Вместо этого оператор просто отправляет JSON-скрипты, которые Xenomorph преобразует в список операций и выполняет их автономно на зараженном устройстве.

"Механизм выполнения ATS, используемый Xenomorph, выделяется на фоне конкурентов благодаря широкому выбору возможных действий, которые программируются и могут быть включены в сценарии ATS, в дополнение к системе, которая допускает условное выполнение и приоритизацию действий", - объясняют исследователи ThreatFabrics.

Одной из наиболее впечатляющих возможностей ATS framework вредоносного ПО является его способность регистрировать содержимое сторонних приложений аутентификации, обходя средства защиты MFA (многофакторная аутентификация), которые в противном случае блокировали бы автоматические транзакции.

Извлечение одноразовых кодов из Google Authenticator (Threat Fabric)

Банки постепенно отказываются от SMS MFA и вместо этого предлагают клиентам использовать приложения-аутентификаторы, поэтому способность Xenomorph получать доступ к этим приложениям на одном устройстве вызывает тревогу.

Кража файлов cookie

В дополнение к вышесказанному, новый Xenomorph оснащен средством для кражи файлов cookie, которое может извлекать файлы cookie из Android CookieManager, в котором хранятся сессионные файлы cookie пользователя.

Похититель запускает окно браузера с URL-адресом легального сервиса с включенным интерфейсом JavaScript, обманом заставляя жертву ввести свои регистрационные данные.

Акторы крадут файл cookie, который позволяет перехватывать веб-сеансы жертвы и завладевать их учетными записями.

Процесс кражи файлов cookie (ThreatFabric)

Вредоносная программа для Android, о которой стоит беспокоиться

Xenomorph был заметной новой вредоносной программой, появившейся в сфере киберпреступности год назад.

Теперь, с выпуском его третьей основной версии, он представляет гораздо большую угрозу для пользователей Android по всему миру.

Учитывая его текущий канал распространения, Zombinder, пользователям следует быть осторожными с приложениями, которые они устанавливают из Google Play, читать обзоры и проверять биографию издателя.

Как правило, рекомендуется свести количество приложений, запущенных на вашем телефоне, к возможному минимуму и устанавливать приложения только от известных и заслуживающих доверия поставщиков.

Источник: https://www.bleepingcomputer.com/ne...droid-malware-now-steals-data-from-400-banks/