Android bankarski trojanac Xenomorph se krije iza lažnih zahteva za ažuriranje Google Chromea

Mobilni telefoni, 26.09.2023, 10:30 AM

Android bankarski trojanac Xenomorph se krije iza lažnih zahteva za ažuriranje Google Chromea

Istraživači bezbednosti iz kompanije ThreatFabric primetili su novu kampanju u kojoj se distribuira malver Xenomorph koji cilja korisnike Android uređaja u SAD, Kanadi, Španiji, Italiji, Portugaliji i Belgiji.

Bankarski trojanac Xenomorph se prvi put pojavio početkom prošle godine kada je ciljao 56 evropskih banaka. Malver je tada otkriven u Google Play prodavnici, u aplikaciji za poboljšanje performansi Android uređaja „Fast Cleaner“, koja je imala više od 50.000 instalacija.

Autori malvera „Hadoken Security“ nastavili su da razvijaju malver i u junu prošle godine objavili su verziju koja je malver učinila modularnim i fleksibilnijim.

Od tada je Xenomorph postao jedan od 10 najaktivnijih bankarskih trojanaca i jedna od najozbiljnijih pretnji Android ekosistemu.

U avgustu prošle godine, Xenomorph je počeo da se distribuira preko novog droppera pod nazivom „BugDrop“ koji je zaobilazio bezbednosne funkcije u Androidu 13.

U decembru 2022., primećena je nova platforma za distribuciju malvera nazvana „Zombinder“, koja je malver ugrađivala u APK fajl legitimnih Android aplikacija.

U martu ove godine objavljena je treća verzija Xenomorpha sa automatizovanim sistemom prenosa (ATS) za autonomne transakcije na uređaju. Ova verzija malvera može da zaobiđe MFA, krade kolačiće i cilja više od 400 banaka.

U najnovijoj kampanji koriste se fišing stranice koje treba da prevare potencijalne žrtve da ažuriraju Google Chrome. Misleći da preuzimaju ažuriranje za Chrome, žrtve zapravo preuzimaju zlonamerni APK fajl.

Iako se novi uzorci Xenomorpha ne razlikuju mnogo od ranije otkrivenih varijanti, neke funkcije malvera koje se prvi put pojavljuju ukazuju na to njegovi autori nastavljaju sa usavršavanjem malvera.

Jedna od novina je funkcija koja se aktivira odgovarajućom komandom a koja daje malveru mogućnost da deluje kao druga aplikacija.

Još jedna nova funkcija je „ClickOnPoint“, koja omogućava napadačima da simuliraju dodire na ekranu i tako prođu kroz ekrane za potvrdu ili da izvrše druge jednostavne radnje bez upotrebe celog ATS modula, što bi moglo da izazove bezbednosna upozorenja.

Tu je i novi sistem „antisleep“ koji sprečava isključivanje ekrana putem aktivnog obaveštenja, što sprečava prekide koji zahtevaju ponovno uspostavljanje komunikacije sa serverom za komandu i kontrolu.

Zahvaljujućim slabim bezbednosnim merama operatera Xenomorpha, analitičari ThreatFabrica su mogli da pristupe njihovoj infrastrukturi za hostovanje i tamo otkrili druge malvere, uključujući Android malvere Medusa i Cabassous, Windows malvere za krađu informacija RisePro i LummaC2 i malver koji učitava druge malvere Private Loader.

Korisnici bi trebalo da budu oprezni sa upitima na mobilnim uređajima da ažuriraju svoje pregledače, jer su oni verovatno deo kampanja za distribuciju malvera.

Foto: Pathum Danthanarayana / Unsplash


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Google popravio ranjivost u Androidu koju su koristile srpske vlasti

Google popravio ranjivost u Androidu koju su koristile srpske vlasti

Google je objavio zakrpe za 43 ranjivosti u martovskom bezbednosnom ažuriranju Androida, uključujući zakrpe za dva nulta dana korišćena u cilja... Dalje

Trojanac SparkCat pronađen u aplikacijama na Google Play i u Apple App Store

Trojanac SparkCat pronađen u aplikacijama na Google Play i u Apple App Store

Istraživači kompanije Kaspersky otkrili su na Google Play malver SparkCat za koji kažu da je trenutno konfigurisan za krađu podataka kripto novča... Dalje

Greška u popularnim aplikacijama za špijuniranje partnera otkrila podatke miliona korisnika aplikacija

Greška u popularnim aplikacijama za špijuniranje partnera otkrila podatke miliona korisnika aplikacija

U popularnim stalkerware aplikacijama pronađena je ozbiljna bezbednosna ranjivost koja je otkrila osetljive lične podatke i komunikaciju miliona kor... Dalje

Hakeri kradu poruke iz aplikacije Signal pomoću ovog trika

Hakeri kradu poruke iz aplikacije Signal pomoću ovog trika

Google je upozorio na napade grupa koje podržava ruska država, koje kradu poruke iz aplikacija za razmenu poruka kao što je Signal. Ove grupe, čes... Dalje

Apple pozvao korisnike da odmah ažuriraju uređaje

Apple pozvao korisnike da odmah ažuriraju uređaje

Apple je objavio hitna bezbednosna ažuriranja za svoje mobilne operativne sisteme zbog ranjivosti za koju je kompanija rekla da je možda korišćen... Dalje