Novi Android bankarski trojanac pronađen u Google Play prodavnici

Mobilni telefoni, 22.02.2022, 10:30 AM

Novi malver primećen je u Google Play prodavnici aplikacija za Android. Malver koga su istraživači firme ThreatFabric nazvali Xenomorph, do sada je inficirao više od 50.000 Android uređaja.

Xenomorph cilja korisnike 56 evropskih banaka a njegov zadatak je prikupljanje informacija o bankovnim računima žrtava.

Istraživači su analizirajući Xenomorph otkrili da je njegov kod sličan kodu još jednog bankarskog trojanca poznatog po imenu Alien. Istovremeno je Xenomorph „radikalno drugačiji“ od svog prethodnika u smislu funkcionalnosti koje nudi. Ovo ukazuje da su dva malvera nekako povezana: ili je Xenomorph naslednik Aliena ili isti programer stoji iza oba malvera.

Trojanci kao što je Xenomorph imaju za cilj krađu informacija o bankovnim računima žrtava, preuzimaju račune, vrše neovlašćene transakcije, a oni koji upravljaju ovakvim malverima ukradene podatke često prodaju zainteresovanim kupcima.

Xenomorph je ušao u Google Play prodavnicu preko generičke aplikacije za poboljšanje performansi nazvane „Fast Cleaner“, koja ima 50.000 instalacija. Takve aplikacije su klasični mamac koji koriste bankarski trojanci, jer uvek postoji interesovanje za alate koji obećavaju da će poboljšati performanse Android uređaja. Kako bi prošla provere Play prodavnice, aplikacija Fast Cleaner preuzima malver tek nakon instalacije.

Funkcionalnost Xenomorpha u ovom trenutku nije puna, pošto je trojanac u fazi intenzivnog razvoja. Međutim, i dalje predstavlja značajnu pretnju jer može da ispuni svoju svrhu krađom podataka iz aplikacija čak 56 evropskih banaka. Malver može da presreće obaveštenja o SMS porukama sa jednokratnim kodovima za autentifikaciju, kao i da krade korisnička imena i lozinke za aplikacije banaka.

Prvo što malver radi nakon instalacije je da listu aplikacija instaliranih na zaraženom uređaju šalje serveru pod kontrolom napadača, kako bi se učitali odgovarajući lažni ekrani aplikacija banaka.

Da bi postigao gore navedeno, malver mora da dobije dozvolu za uslugu pristupačnosti nakon instalacije, a zatim zloupotrebljava privilegije da bi sebi dodelio dodatne dozvole po potrebi.

Xenomorph koristi proverenu taktiku podsticanja žrtava da mu odobre privilegije usluge pristupačnosti. Malver zloupotrebljava dozvole za vršenje napada, pri čemu ubacuje lažne ekrane za prijavu preko ciljanih aplikacija banaka da bi ukrao lozinke i druge lične podatke.

Istraživači kažu da su potrebne manje modifikacije koda malvera da bi se aktivirale moćne funkcije izvlačenja podataka. Xenomorph bi, prema njihovim rečima, vremenom mogao da dostigne svoj puni potencijal i stane u red sa drugim modernim Android bankarskim trojancima.

S obzirom da je malver otkriven u Play prodavnici, uobičajen savet stručnjaka za izbegavanje malvera - da se držite Play prodavnice, u ovom slučaju nije smislen. Ali provera recenzija drugih korisnika može vas naterati da odustanete od instalacije zlonamerne aplikacije.