Истражувачите од холандската компанија ThreatFabric забележаа нова верзија на банкарскиот тројанец за Android Xenomorph, кој неговите креатори, Hadoken Security Group, го нарекоа „Xenomorph 3-та генерација“.

Xenomorph првпат беше забележан во февруари 2022 година, кога беше откриено дека цели кон корисници на 56 европски банки. Малициозен софтвер потоа беше дистрибуиран преку dropper апликација за подобрување на перформансите на уредот наречена „Fast Cleaner“, која беше преземена 50.000 пати од продавницата на Google Play. Таа апликација беше класична мамка што ја користат банкарските тројанци бидејќи секогаш постои интерес кај корисниците за апликации кои ветуваат подобрување на перформансите на уредите со Android. За да ги помине проверките на Play Store, апликацијата Fast Cleaner преземала малициозен софтвер само по инсталацијата.

Првата верзија ги злоупотребуваше услугите за пристапност на Android, за кои мораше да добие дозвола од корисникот, а потоа ја искористи за да си даде дополнителни дозволи по потреба. Злонамерниот софтвер прикажуваше лажни екрани за најавување преку таргетирани банкарски апликации за да ги украде лозинките и другите лични информации на жртвите.

Развојот на малициозниот софтвер продолжи во текот на 2022 година, но неговата следна верзија никогаш не беше широко дистрибуирана.

Xenomorph v3 е многу помоќен и позрел од претходните верзии и е способен за автоматска кражба на податоци, вклучително и акредитиви и салда на сметки, извршување финансиски трансакции и финализирање на трансфери на средства.

„Со овие нови функции, Xenomorph сега може да го заврши целиот синџир на измами, од инфекција до ексфилтрација на средства, што го прави еден од најнапредните и најопасните Android тројанци во оптек“, предупреди ThreatFabric.

Hadoken веројатно планира да го продаде Xenomorph преку платформата MaaS (злонамерен софтвер како услуга), а лансирањето на веб-страница која ја промовира новата верзија на малициозен софтвер ја поддржува оваа хипотеза.

Во моментов, Xenomorph v3 се дистрибуира преку платформата „Zombinder“ во Google Play Store, претставувајќи се како конвертор на валута и по инсталацијата ја користи иконата Play Protect.

Злонамерниот софтвер сега може да украде акредитиви за повеќе од 400 банки и паричници со криптовалути. Банките, чии апликации се цел на малициозниот софтвер се главно од САД, Шпанија, Турција, Полска, Австралија, Канада, Италија, Португалија, Франција, Германија, ОАЕ и Индија.

Злонамерниот софтвер цели и на 13 паричници за криптовалути, вклучувајќи ги Binance, BitPay, KuCoin, Gemini и Coinbase.

Една од највпечатливите карактеристики на новата верзија на Xenomorph е нејзината способност да ја евидентира содржината на апликациите за автентикација, што му овозможува на малициозниот софтвер да ја надмине заштитата за повеќефакторска автентикација која инаку автоматски би ги блокирала трансакциите. Бидејќи банките постепено се откажуваат од SMS MFA и наместо тоа им сугерираат на клиентите да користат апликации за автентикација, способноста на Xenomorph да пристапува до овие апликации на истиот уред изгледа многу вознемирувачка.

Покрај сето горенаведено, новиот Xenomorph може да украде колачиња од Android CookieManager, кој ги складира колачињата на веб-сесијата на корисникот. Потоа отвора прозорец на прелистувачот со URL-то на легитимна услуга овозможена JavaScript, што ја поттикнува жртвата да ги внесе своите информации за најава. Ова им овозможува на напаѓачите да ги преземат веб-сесиите на жртвата, како и нивните сметки.

Со оглед на нејзиниот сегашен канал на дистрибуција, платформата Zombinder што се користи за поврзување на малициозен софтвер и легитимни апликации, корисниците треба да бидат внимателни со апликациите што ги инсталираат од Google Play, да читаат рецензии и да ја проверуваат репутацијата на издавачот.

Се препорачува бројот на инсталирани апликации на телефонот да биде што помал и да инсталирате само апликации од познати и доверливи програмери.