Google đã xóa hai ứng dụng nhỏ giọt độc hại mới được phát hiện trên Cửa hàng Play dành cho Android, một trong số đó được coi là ứng dụng phong cách sống và bị bắt quả tang phân phối phần mềm độc hại ngân hàng Xenomorph.
Các nhà nghiên cứu Himanshu Sharma và Viral Gandhi của Zscaler ThreatLabz cho biết: “Xenomorph là một trojan đánh cắp thông tin xác thực từ các ứng dụng ngân hàng trên thiết bị của người dùng.
“Nó cũng có khả năng chặn tin nhắn SMS và thông báo của người dùng, cho phép đánh cắp mật khẩu một lần và các yêu cầu xác thực đa yếu tố.”
Công ty an ninh mạng cho biết họ cũng tìm thấy một ứng dụng theo dõi chi phí có hành vi tương tự, nhưng lưu ý rằng nó không thể trích xuất URL được sử dụng để tìm nạp phần mềm độc hại.
Hai ứng dụng độc hại như sau:
Todo: Quản lý ngày (com.todo.daymanager) 経 費 キ ー パ ー (com.setprice.expenses)
Cả hai ứng dụng đều hoạt động như một ống nhỏ giọt, có nghĩa là bản thân các ứng dụng đều vô hại và là một đường dẫn để truy xuất tải trọng thực tế, trong trường hợp của Todo, được lưu trữ trên GitHub.
Xenomorph, được ghi nhận lần đầu tiên bởi ThreatFnai vào đầu tháng 2 này, được biết là đã lạm dụng quyền truy cập của Android để thực hiện các cuộc tấn công lớp phủ, trong đó các màn hình đăng nhập giả mạo được hiển thị trên các ứng dụng ngân hàng hợp pháp để lấy cắp thông tin đăng nhập của nạn nhân.
Hơn nữa, phần mềm độc hại này sử dụng mô tả của kênh Telegram để giải mã và xây dựng miền lệnh và kiểm soát (C2) được sử dụng để nhận các lệnh bổ sung.
Sự phát triển sau khi phát hiện ra bốn ứng dụng giả mạo trên Google Play được phát hiện hướng nạn nhân đến các trang web độc hại như một phần của chiến dịch đánh cắp thông tin và phần mềm quảng cáo. Google nói với The Hacker News rằng họ đã cấm nhà phát triển.
