Niedawne odkrycie ekspertów ds. bezpieczeństwa ujawniło istnienie szkodliwego oprogramowania, którego celem są użytkownicy Androida w USA, Kanadzie, Włoszech, Portugalii, Hiszpanii i Belgii.
Znani jako Xenomorph sprawcy stojący za tym wysoce zaawansowanym trojanem bankowym dla systemu Android od ponad roku konsekwentnie kierują swoje wysiłki w stronę użytkowników w Europie. Jednak ostatnio rozszerzyli swoją działalność na konsumentów ponad 25 amerykańskich instytucji finansowych.
Ksenomorf powrócił i ta wersja jest jeszcze bardziej zabójcza niż kiedykolwiek. Zdaniem analityków, obecnie jest to poważniejsze zagrożenie i rozprzestrzeniło się na ponad 100 aplikacji finansowych i kryptowalut.
Taktyki phishingu i dystrybucja złośliwego oprogramowania
Według analityków z firmy ThreatFabric, która monitoruje aktywność szkodliwego oprogramowania od lutego 2022 r., obecna kampania Xenomorph rozpoczęła się w połowie sierpnia.
Najnowsza kampania autorów szkodliwego oprogramowania obejmuje adresy URL phishingowe, które zachęcają użytkowników do aktualizacji przeglądarek Chrome i pobrania niebezpiecznego pakietu APK. Szkodnik w dalszym ciągu wykorzystuje techniki nakładek do gromadzenia danych, ale teraz atakuje amerykańskie banki i różne aplikacje obsługujące kryptowaluty.
Analitycy ThreatFabric uzyskali dostęp do infrastruktury hostingu ładunku operatora szkodliwego oprogramowania, korzystając z luźnych procedur bezpieczeństwa operatora.
Na dzień dzisiejszy kapitalizacja rynkowa kryptowalut wynosiła 1.02 biliona dolarów. Wykres: TradingView.com
Wśród innych szkodliwych ładunków, które tam znaleźli, znalazły się: Private Loader tego szkodliwego oprogramowania, złodzieje informacji systemu Windows RisePro i LummaC2 oraz wersje szkodliwego oprogramowania dla systemu Android Medusa i Cabassous.
Godna uwagi cecha najnowszej wersji Xenomorpha dotyczy zaawansowanej i elastycznej struktury Automatic Movement System (ATS), która ułatwia zautomatyzowany przepływ gotówki z zaatakowanego urządzenia do urządzenia kontrolowanego przez atakującego.
Ksenomorf atakuje Banksa
Silnik ATS szkodliwego oprogramowania Xenomorph zawiera kilka modułów, które umożliwiają cyberprzestępcom przejęcie kontroli nad zaatakowanymi urządzeniami i przeprowadzenie szeregu szkodliwych działań.
Szkodnik atakuje Chase, Amex, Ally, Citi Mobile, Citizens Bank, Bank of America i Discover Mobile. Badacze ThreatFabric odkryli nowe próbki trojanów, których celem są Bitcoin, Binance i Coinbase.
Na początku 56 r. wirus bankowy Xenomorph zaatakował 2022 europejskich banków stosujących phishing poprzez nakładanie ekranu. Google Play dostarczył go ponad 50,000 XNUMX użytkowników.
Bezpieczeństwo Hadoken: mózgi złośliwego oprogramowania
Stojąca za nim firma „Hadoken Security” ulepszyła wirusa i w czerwcu 2022 r. wypuściła modułową, elastyczną wersję. Xenomorph był wówczas jednym z 10 najpopularniejszych trojanów bankowych i „głównym zagrożeniem” Zimperium.
W zależności od grupy demograficznej każda próbka Xenomorpha zawiera około stu nakładek przeznaczonych dla różnych banków i aplikacji kryptowalutowych.
Tymczasem użytkownicy powinni zachować ostrożność, gdy są proszeni o aktualizację przeglądarek mobilnych, ponieważ żądania te często dotyczą ukrytego oprogramowania szpiegującego.
Wyróżnione zdjęcie z Bleeping Computer
Źródło: https://bitcoinist.com/xenomorph-malware-attacks-us-crypto-community/