Novi zlonamjerni softver pod nazivom Xenomorph koji se distribuira putem Google Play Storea zarazio je više od 50.000 Android uređaja kako bi ukrao bankovne podatke korisnika.
Još uvijek u ranoj fazi razvoja, Xenomorph cilja na korisnike desetaka financijskih institucija u Španjolskoj, Portugalu, Italiji i Belgiji.
Istraživači tvrtke ThreatFabric, koja se bavi sprječavanjem prijevara i kibernetičkog kriminala, analizirajući Xenomorph pronašli su kod koji je sličan bankovnom trojancu Alien. To sugerira da su dvije prijetnje na neki način povezane: ili je Xenomorph Alienov nasljednik ili je riječ o istom programeru.
Bankarski trojanci poput Xenomorpha kradu osjetljive financijske podatke, preuzimaju račune ili obavljaju neovlaštene transakcije, nakon čega kibernetički kriminalci prodaju ukradene podatke zainteresiranim kupcima.
Ušuljao se u Play Sotre
Xenomorph je ušao u trgovinu Google Play putem generičkih aplikacija za povećanje performansi poput Fast Cleanera, koji broji 50.000 preuzimanja.
Takvi su uslužni programi klasični mamac koji koriste bankarski trojanci, uključujući i Aliena, jer uvijek postoji interes za alate koji obećavaju poboljšanje performansi Android uređaja.
Kako bi izbjegao odbijanje tijekom pregleda aplikacije od strane Play Storea, Fast Cleaner dohvaća zlonamjerni kod tek nakon instalacije, tako da je aplikacija čista u trenutku slanja na Play Sotre.
ThreatFabric je prepoznao aplikaciju kao člana obitelji zlonamjernih aplikacija "Gymdrop", koje su prvi put otkrivene u studenom 2021. i koje su od tad pod budnim okom stručnjaka za računalnu sigurnost.
Ksenomorfne sposobnosti
Funkcionalnost Xenomorpha u ovom trenutku nije puna, jer je trojanac u intenzivnom razvoju. Međutim, još uvijek predstavlja značajnu prijetnju, jer može ispuniti svoju svrhu krađe informacija i cilja na čak 56 različitih europskih banaka.
Na primjer, zlonamjerni softver može presresti obavijesti, zabilježiti SMS-ove i prikazivati lažne prozore za prijavu u sustav, tako da već može oteti vjerodajnice i jednokratne lozinke koje se koriste za zaštitu bankovnih računa.
Nakon instalacije, prva radnja koju Xenomorph poduzima jest povratno slanje popisa instaliranih paketa na zaraženom uređaju. Potom traži pristup različitim informacijama na uređaju, ne bi li zatim zlorabio privilegije i omogućio si dodatni pristup dijelovima kojima inače ne bi imao pristup.
Njegov mehanizam pristupačnosti vrlo je detaljan i dizajniran je s modularnim pristupom na umu. Sadrži module za svaku specifičnu radnju koju zahtjeva bot i može se jednostavno proširiti kako bi podržao više funkcionalnosti, piše u izvješšću ThreatFabrica.
Sve u svemu, Xenomorph može dodati mogućnosti sljedeće razine u bilo kojem trenutku, budući da su potrebne samo manje implementacije i modifikacije koda za aktiviranje opsežnih funkcija izvlačenja podataka.
ThreatFabric ocjenjuje da Xenomorph trenutno nije jaka prijetnja zbog statusa "u razvoju". Međutim, s vremenom bi mogao dosegnuti svoj puni potencijal, usporediv s drugim modernim Android bankovnim trojancima.
Kako bi se izbjeglo Xenomorph ili bilo koji drugi zlonamjeran softver za Android koji vreba u Play Storeu, korisnicima se savjetuje da izbjegavaju instaliranje aplikacija koje obećavaju nerealne mogućnosti uređaja. Isto tako, provjera recenzija drugih korisnika ponekad može pomoći u izbjegavanju zlonamjernih aplikacija.
Izvor: Bleeping Comuter