En nylig opdagelse af sikkerhedseksperter har afsløret eksistensen af en malware, der specifikt er rettet mod Android-brugere i USA, Canada, Italien, Portugal, Spanien og Belgien.
Kendt som Xenomorph, har gerningsmændene bag denne meget avancerede Android-banktrojan konsekvent rettet deres indsats mod europæiske brugere i mere end et år. De har dog for nylig udvidet deres aktiviteter til at omfatte forbrugere fra over 25 amerikanske finansielle institutioner.
Xenomorphen er vendt tilbage, og denne iteration er endnu mere dødelig end nogensinde. Nu er en mere alvorlig fare, den har spredt sig til mere end 100 finansielle og kryptovaluta-apps, ifølge analytikere.
Phishing-taktik og distribution af malware
Den nuværende Xenomorph-kampagne begyndte i midten af august, ifølge analytikere hos cybersikkerhedsfirmaet ThreatFabric, som har overvåget malwarens aktivitet siden februar 2022.
Malwareforfatternes seneste kampagne involverer phishing-URL'er, der opfordrer brugerne til at opdatere deres Chrome-browsere og downloade den farlige APK. Malwaren bruger stadig overlejringsteknikker til at indsamle data, men nu går den efter amerikanske banker og en række cryptocurrency-apps.
ThreatFabric-analytikere fik adgang til malware-operatørens nyttelast-hosting-infrastruktur ved at udnytte operatørens slappe sikkerhedsprocedurer.
I dag var markedsværdien for kryptovalutaer på 1.02 billioner dollars. Diagram: TradingView.com
Malwarens Private Loader, Windows-informationstyvene RisePro og LummaC2 og Android-malwareversionerne Medusa og Cabassous var blandt de andre skadelige nyttelaster, de fandt der.
Et bemærkelsesværdigt kendetegn ved den seneste iteration af Xenomorph vedrører dets avancerede og tilpasningsdygtige Automatic Movement System (ATS) struktur, som letter den automatiske bevægelse af kontanter fra en kompromitteret enhed til en kontrolleret af en angriber.
Xenomorph går efter banker
ATS-motoren i Xenomorph-malwaren har flere moduler, der gør det muligt for trusselsaktører at få kontrol over kompromitterede enheder og udføre en række ondsindede aktiviteter.
Malwaren er rettet mod Chase, Amex, Ally, Citi Mobile, Citizens Bank, Bank of America og Discover Mobile-forbrugere. ThreatFabric-forskere fandt nye trojanske prøver, der er målrettet mod Bitcoin, Binance og Coinbase.
Xenomorph-bankvirussen var rettet mod 56 europæiske banker, der benyttede skærmoverlejringsphishing i begyndelsen af 2022. Google Play leverede den til over 50,000 brugere.
Hadoken Security: The Malware Brains
Firmaet bag, "Hadoken Security", forbedrede virussen og udgav en modulær, fleksibel version i juni 2022. Xenomorph var en af de 10 bedste banktrojanske heste og en Zimperium "større trussel" på det tidspunkt.
Afhængigt af demografien har hver Xenomorph-prøve omkring hundrede overlejringer, der er målrettet mod forskellige banker og cryptocurrency-apps.
I mellemtiden bør brugere udvise forsigtighed, når de opfordres til at opgradere deres mobile browsere, da disse anmodninger ofte er skjulte spyware.
Udvalgt billede fra Bleeping Computer
Kilde: https://bitcoinist.com/xenomorph-malware-attacks-us-crypto-community/