Gli esperti di ThreatFabric hanno rilevato un nuovo Trojan bancario per Android, soprannominato Xenomorph, che prende di mira gli utenti di 56 diverse banche europee tramite il Google Play Store ufficiale, con oltre 50.000 installazioni.
Questo malware sembra essere nella fase iniziale di sviluppo e presenta delle somiglianze con il famigerato trojan bancario Alien, da cui il malware adotta nomi di classi e stringhe interessanti; tuttavia, è radicalmente diverso da Alien nelle funzionalità. La presenza di funzionalità non implementate e la grande quantità di logging presente sul malware, suggeriscono che questo malware potrebbe essere il nuovo progetto in corso degli attori responsabili dell’Alien originale, o quantomeno di qualcuno che abbia familiarità con la sua base di codice.
Xenomorph supporta principalmente l’elenco minimo di funzionalità richieste per un moderno trojan bancario Android e il suo principale vettore di attacco è l’uso dell’attacco overlay basato sui privilegi di Accessibility Services per rubare le credenziali, combinato con l’uso di SMS e di intercettazione delle notifiche per registrare e utilizzare potenziali token 2FA.
Il motore di accessibilità che alimenta questo malware, insieme all’infrastruttura e al protocollo C2, sono accuratamente progettati per essere scalabili e aggiornabili. Le informazioni memorizzate dalla capacità di registrazione sono molto estese e, se rispedite al server C2, potrebbero essere utilizzate per implementare il keylogging, oltre a raccogliere dati comportamentali sulle vittime e sulle applicazioni installate.
Come molti altri trojan di Android Banking, Xenomorph fa molto affidamento sul meccanismo di attacco overlay per indurre le sue vittime a rivelare informazioni personali identificabili (PII), che potrebbero essere utilizzate dagli attori criminali per eseguire frodi. Se il malware ottiene i privilegi di Accessibility Services, che richiede insistentemente dopo essere stato avviato, otterrà automaticamente tutte le autorizzazioni richieste e quindi eseguirà silenziosamente sul dispositivo.
Una volta che il malware è attivo e in esecuzione su un dispositivo, i suoi servizi in background ricevono eventi di accessibilità ogni volta che accade qualcosa di nuovo sul dispositivo. Inoltre, è in grado di abusare dei servizi di accessibilità per registrare tutto ciò che accade sul dispositivo. Al momento della scrittura, tutte le informazioni raccolte vengono visualizzate solo sui log del dispositivo locale, ma in futuro basterebbe una piccolissima modifica per aggiungere al malware funzionalità di keylogging e Accessibility logging.
L’attuale versione di Xenomorph è in grado di abusare dei servizi di accessibilità per rubare informazioni personali a vittime ignare, impedire la disinstallazione e intercettare SMS e notifiche.
L’elenco degli obiettivi include obiettivi da Spagna, Portogallo, Italia e Belgio, nonché alcune applicazioni generiche come servizi di posta elettronica e portafogli di criptovaluta.
https://www.threatfabric.com/blogs/xenomorph-a-newly-hatched-banking-trojan.html
