En nylig oppdagelse av sikkerhetseksperter har avslørt eksistensen av en skadelig programvare som spesifikt retter seg mot Android-brukere i USA, Canada, Italia, Portugal, Spania og Belgia.
Kjent som Xenomorph, har gjerningsmennene bak denne svært avanserte Android-banktrojaneren konsekvent rettet innsatsen mot europeiske brukere i mer enn et år. Imidlertid har de nylig utvidet virksomheten til å omfatte forbrukere fra over 25 amerikanske finansinstitusjoner.
Xenomorphen har kommet tilbake, og denne iterasjonen er enda mer dødelig enn noen gang. Nå en mer alvorlig fare, den har spredt seg til mer enn 100 finans- og kryptovalutaapper, ifølge analytikere.
Phishing-taktikker og distribusjon av skadelig programvare
Den nåværende Xenomorph-kampanjen startet i midten av august, ifølge analytikere ved cybersikkerhetsfirmaet ThreatFabric, som har overvåket skadevarens aktivitet siden februar 2022.
Skadevareforfatternes siste kampanje involverer nettfisking-URLer som oppfordrer brukere til å oppdatere Chrome-nettleserne og laste ned den farlige APK-en. Skadevaren bruker fortsatt overleggsteknikker for å samle inn data, men nå går den etter amerikanske banker og en rekke kryptovaluta-apper.
ThreatFabric-analytikere fikk tilgang til malware-operatørens nyttelast-hosting-infrastruktur ved å dra nytte av operatørens slappe sikkerhetsprosedyrer.
Per i dag var markedsverdien for kryptovalutaer på 1.02 billioner dollar. Diagram: TradingView.com
Skadevarens Private Loader, Windows-informasjonstyvene RisePro og LummaC2, og Android-malwareversjonene Medusa og Cabassous var blant de andre skadelige nyttelastene de fant der.
Et bemerkelsesverdig kjennetegn ved den siste iterasjonen av Xenomorph gjelder dens avanserte og tilpasningsbare Automatic Movement System (ATS) struktur, som letter automatisert bevegelse av kontanter fra en kompromittert enhet til en kontrollert av en angriper.
Xenomorph går etter banker
ATS-motoren til Xenomorph malware har flere moduler som gjør det mulig for trusselaktører å få kontroll over kompromitterte enheter og utføre en rekke ondsinnede aktiviteter.
Skadevaren retter seg mot Chase, Amex, Ally, Citi Mobile, Citizens Bank, Bank of America og Discover Mobile-forbrukere. ThreatFabric-forskere fant nye trojanske prøver som er målrettet mot Bitcoin, Binance og Coinbase.
Xenomorph-bankviruset var rettet mot 56 europeiske banker som brukte phishing med skjermoverlegg tidlig i 2022. Google Play leverte det til over 50,000 XNUMX brukere.
Hadoken Security: The Malware Brains
Firmaet bak, "Hadoken Security", forbedret viruset og ga ut en modulær, fleksibel versjon i juni 2022. Xenomorph var en av de 10 beste banktrojanerne og en Zimperium "stor trussel" da.
Avhengig av demografien har hver Xenomorph-prøve omtrent hundre overlegg som retter seg mot ulike banker og kryptovaluta-apper.
I mellomtiden bør brukere utvise forsiktighet når de blir oppfordret til å oppgradere sine mobile nettlesere, siden disse forespørslene ofte er skjulte spionprogrammer.
Utvalgt bilde fra Bleeping Computer
Kilde: https://bitcoinist.com/xenomorph-malware-attacks-us-crypto-community/