Un nuovo trojan bancario Android con oltre 50.000 installazioni è stato distribuito tramite il Google Play Store ufficiale con l’obiettivo di prendere di mira 56 banche europee, comprese quelle italiane, e raccogliere informazioni sensibili da tutti i dispositivi compromessi.
Soprannominato Xenomorph dalla società di sicurezza olandese ThreatFabric, si dice che il malware in fase di sviluppo condivida sovrapposizioni con un altro trojan bancario tracciato con il soprannome di Alien, pur essendo “radicalmente diverso” dal suo predecessore in termini di funzionalità offerte.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
“Nonostante sia un work-in-progress, Xenomorph sta già sfoggiando sovrapposizioni efficaci e viene distribuito attivamente sugli app store ufficiali”, ha affermato Han Sahin, fondatore e CEO di ThreatFabric. “Inoltre, è dotato di un motore molto dettagliato e modulare per abusare dei servizi di accessibilità, che in futuro potrebbero alimentare capacità molto avanzate, come ATS”.
Alien, un trojan di accesso remoto (RAT) con funzionalità di sniffing delle notifiche e funzionalità di furto dati anche se protetti da 2FA ( autenticazioni a due fattori ), è emerso poco dopo la scomparsa del famigerato malware Cerberus nell’agosto 2020.
Xenomorph, come Alien ed ERMAC, è stato in grado di mascherarsi da app di produttività come “Fast Cleaner” (conosciuta app per la pulizia del telefono) per indurre le vittime ignare a installare il malware.
Anche un’altra App per l’allenamento fitness con oltre 10.000 installazioni, soprannominata GymDrop , è stata trovata a fornire il payload del trojan bancario Alien, mascherandolo come un “nuovo pacchetto di esercizi di allenamento”.
Fast Cleaner, che ha il nome del pacchetto “vizeeva.fast.cleaner” e continua a essere disponibile sull’app store, è stato più popolare in Portogallo e Spagna, rivelano i dati della società di analisi del mercato delle app mobili Sensor Tower , con l’app che fa la sua prima apparizione nel Play Store verso la fine di gennaio 2022.
Inoltre, le recensioni per l’app da parte degli utenti vengono fornite con avvisi che “questa app contiene malware” e che “richiede la conferma continua di un aggiornamento”. Un altro utente ha affermato: “Mette malware sul dispositivo e, a parte questo, ha un sistema di autoprotezione in modo che non sia possibile disinstallarlo”.
Utilizzata anche da Xenomorph è la tattica collaudata per indurre le vittime a concedergli i privilegi del servizio di accessibilità e ad abusare delle autorizzazioni per condurre attacchi in overlay, in cui il malware inietta schermate di accesso non autorizzate su app mirate da Spagna, Portogallo, Italia e Belgio per sottrarre credenziali e altre informazioni personali.
Intermezzo promozionale ... continua la lettura dopo il box:
Inoltre, è dotato di una funzione di intercettazione delle notifiche per estrarre i token di autenticazione a due fattori ricevuti tramite SMS e ottenere l’elenco delle app installate, i cui risultati vengono esfiltrati su un server di comando e controllo remoto.
“L’emergere di Xenomorph mostra, ancora una volta, che gli attori delle minacce stanno concentrando la loro attenzione sull’atterraggio di applicazioni sui mercati ufficiali”, hanno affermato i ricercatori. “Il malware Modern Banking si sta evolvendo a un ritmo molto veloce e i criminali stanno iniziando ad adottare pratiche di sviluppo più raffinate per supportare gli aggiornamenti futuri”.
Fonte : https://thehackernews.com/2022/02/xenomorph-android-banking.html