Nedávný objev bezpečnostních expertů odhalil existenci malwaru, který se konkrétně zaměřuje na uživatele Androidu v USA, Kanadě, Itálii, Portugalsku, Španělsku a Belgii.
Pachatelé tohoto vysoce pokročilého trojana Android banking, známí jako Xenomorph, již více než rok soustavně směřují své úsilí k evropským uživatelům. Nedávno však rozšířily své operace o spotřebitele více než 25 amerických finančních institucí.
Xenomorph se vrátil a tato iterace je ještě smrtelnější než kdy jindy. Nyní je to vážnější nebezpečí, podle analytiků se rozšířilo do více než 100 finančních a kryptoměnových aplikací.
Phishingové taktiky a distribuce malwaru
Současná kampaň Xenomorph začala v polovině srpna, podle analytiků společnosti ThreatFabric zabývající se kybernetickou bezpečností, kteří monitorují aktivitu malwaru od února 2022.
Nejnovější kampaň autorů malwaru zahrnuje phishingové adresy URL, které vybízejí uživatele k aktualizaci prohlížeče Chrome a stažení nebezpečného souboru APK. Malware stále používá překryvné techniky ke sběru dat, ale nyní jde po amerických bankách a různých aplikacích pro kryptoměny.
Analytici ThreatFabric získali přístup k hostitelské infrastruktuře užitečného zatížení provozovatele malwaru díky využití laxních bezpečnostních postupů operátora.
K dnešnímu dni činila tržní kapitalizace kryptoměn 1.02 bilionu dolarů. Graf: TradingView.com
Soukromý zavaděč malwaru, zloději informací pro Windows RisePro a LummaC2 a verze malwaru pro Android Medusa a Cabassous byly mezi dalšími škodlivými daty, které tam našli.
Pozoruhodná charakteristika nejnovější iterace Xenomorphu se týká její pokročilé a adaptabilní struktury automatického pohybového systému (ATS), která usnadňuje automatizovaný přesun hotovosti z napadeného zařízení do zařízení ovládaného útočníkem.
Xenomorf jde po bankách
ATS engine malwaru Xenomorph má několik modulů, které umožňují aktérům hrozeb získat kontrolu nad kompromitovanými zařízeními a provádět řadu škodlivých činností.
Malware se zaměřuje na spotřebitele Chase, Amex, Ally, Citi Mobile, Citizens Bank, Bank of America a Discover Mobile. Výzkumníci ThreatFabric našli nové vzorky trojských koní, které se zaměřují na bitcoiny, Binance a Coinbase.
Bankovní virus Xenomorph se začátkem roku 56 zaměřoval na 2022 evropských bank využívajících phishing s překryvnými obrazovkami. Google Play jej doručil více než 50,000 XNUMX uživatelům.
Hadoken Security: The Malware Brains
Společnost, která za tím stojí, „Hadoken Security“, vylepšila virus a vydala modulární, flexibilní verzi v červnu 2022. Xenomorph byl v té době jedním z 10 největších bankovních trojanů a „hlavní hrozbou“ Zimperia.
V závislosti na demografické skupině má každý vzorek Xenomorph asi sto překryvů, které cílí na různé banky a kryptoměnové aplikace.
Mezitím by uživatelé měli být opatrní, když jsou vyzváni k upgradu svých mobilních prohlížečů, protože tyto požadavky jsou často skrytým spywarem.
Doporučený obrázek z Bleeping Computer
Zdroj: https://bitcoinist.com/xenomorph-malware-attacks-us-crypto-community/