Μια πρόσφατη ανακάλυψη από ειδικούς σε θέματα ασφάλειας αποκάλυψε την ύπαρξη ενός κακόβουλου λογισμικού που στοχεύει συγκεκριμένα χρήστες Android στις ΗΠΑ, τον Καναδά, την Ιταλία, την Πορτογαλία, την Ισπανία και το Βέλγιο.
Γνωστός ως Xenomorph, οι δράστες πίσω από αυτό το εξαιρετικά προηγμένο τραπεζικό trojan Android κατευθύνουν με συνέπεια τις προσπάθειές τους προς τους Ευρωπαίους χρήστες για περισσότερο από ένα χρόνο. Ωστόσο, πρόσφατα επέκτειναν τις δραστηριότητές τους για να συμπεριλάβουν καταναλωτές από περισσότερα από 25 αμερικανικά χρηματοπιστωτικά ιδρύματα.
Το Ξενόμορφο έχει επιστρέψει και αυτή η επανάληψη είναι ακόμα πιο θανατηφόρα από ποτέ. Τώρα, ένας πιο σοβαρός κίνδυνος, έχει εξαπλωθεί σε περισσότερες από 100 εφαρμογές χρηματοοικονομικών και κρυπτονομισμάτων, σύμφωνα με αναλυτές.
Τακτικές phishing και διανομή κακόβουλου λογισμικού
Η τρέχουσα καμπάνια Xenomorph ξεκίνησε στα μέσα Αυγούστου, σύμφωνα με αναλυτές της εταιρείας κυβερνοασφάλειας ThreatFabric, οι οποίοι παρακολουθούν τη δραστηριότητα του κακόβουλου λογισμικού από τον Φεβρουάριο του 2022.
Η τελευταία καμπάνια των δημιουργών κακόβουλου λογισμικού περιλαμβάνει διευθύνσεις phishing που ενθαρρύνουν τους χρήστες να ενημερώσουν τα προγράμματα περιήγησης Chrome και να κατεβάσουν το επικίνδυνο APK. Το κακόβουλο λογισμικό εξακολουθεί να χρησιμοποιεί τεχνικές επικάλυψης για τη συλλογή δεδομένων, αλλά τώρα κυνηγά τις τράπεζες των ΗΠΑ και μια ποικιλία εφαρμογών κρυπτονομισμάτων.
Οι αναλυτές του ThreatFabric απέκτησαν πρόσβαση στην υποδομή φιλοξενίας ωφέλιμου φορτίου του χειριστή κακόβουλου λογισμικού εκμεταλλευόμενοι τις χαλαρές διαδικασίες ασφαλείας του χειριστή.
Από σήμερα, το ανώτατο όριο αγοράς των κρυπτονομισμάτων ήταν 1.02 τρισεκατομμύρια δολάρια. Διάγραμμα: TradingView.com
Ο Private Loader του κακόβουλου λογισμικού, οι κλέφτες πληροφοριών των Windows RisePro και LummaC2 και οι εκδόσεις κακόβουλου λογισμικού Android Medusa και Cabassous ήταν μεταξύ των άλλων επιβλαβών φορτίων που βρήκαν εκεί.
Ένα αξιοσημείωτο χαρακτηριστικό της τελευταίας επανάληψης του Xenomorph αφορά την προηγμένη και προσαρμόσιμη δομή Automatic move System (ATS), η οποία διευκολύνει την αυτοματοποιημένη μετακίνηση μετρητών από μια παραβιασμένη συσκευή σε μια συσκευή που ελέγχεται από έναν εισβολέα.
Το Xenomorph Goes After Banks
Ο κινητήρας ATS του κακόβουλου λογισμικού Xenomorph έχει πολλές ενότητες που επιτρέπουν στους παράγοντες απειλών να αποκτήσουν τον έλεγχο των παραβιασμένων συσκευών και να πραγματοποιήσουν μια σειρά από κακόβουλες δραστηριότητες.
Το κακόβουλο λογισμικό στοχεύει τους καταναλωτές Chase, Amex, Ally, Citi Mobile, Citizens Bank, Bank of America και Discover Mobile. Οι ερευνητές της ThreatFabric βρήκαν νέα δείγματα trojan που στοχεύουν τα Bitcoin, Binance και Coinbase.
Ο τραπεζικός ιός Xenomorph στόχευσε 56 ευρωπαϊκές τράπεζες που χρησιμοποιούν επικάλυψη οθόνης phishing στις αρχές του 2022. Το Google Play τον παρέδωσε σε περισσότερους από 50,000 χρήστες.
Hadoken Security: The Malware Brains
Η εταιρεία πίσω από αυτό, "Hadoken Security", βελτίωσε τον ιό και κυκλοφόρησε μια αρθρωτή, ευέλικτη έκδοση τον Ιούνιο του 2022. Το Xenomorph ήταν ένα από τα 10 κορυφαία τραπεζικά trojans και μια "μείζονα απειλή" του Zimperium μέχρι τότε.
Ανάλογα με τα δημογραφικά στοιχεία, κάθε δείγμα Xenomorph έχει περίπου εκατό επικαλύψεις που στοχεύουν διάφορες τράπεζες και εφαρμογές κρυπτονομισμάτων.
Εν τω μεταξύ, οι χρήστες θα πρέπει να είναι προσεκτικοί όταν καλούνται να αναβαθμίσουν τα προγράμματα περιήγησης για κινητά, καθώς αυτά τα αιτήματα είναι συχνά κρυφά spyware.
Επιλεγμένη εικόνα από το Bleeping Computer
Πηγή: https://bitcoinist.com/xenomorph-malware-attacks-us-crypto-community/