Ngày 10 tháng 3 năm 2023Ravie LakshmananBảo mật Di động / Android
Một biến thể mới của trojan ngân hàng Android có tên Xenomorph đã xuất hiện ngoài tự nhiên, những phát hiện mới nhất từ ThreatFabric tiết lộ.
được đặt tên là “Xenomorph thế hệ thứ 3” của Hadoken Security Group, tác nhân đe dọa đằng sau hoạt động này, phiên bản cập nhật đi kèm với các tính năng mới cho phép nó thực hiện hành vi gian lận tài chính một cách liền mạch.
“Phiên bản mới này của phần mềm độc hại bổ sung nhiều khả năng mới cho ngân hàng Android vốn đã có nhiều tính năng, đáng chú ý nhất là việc giới thiệu một công cụ thời gian chạy rất rộng được cung cấp bởi các dịch vụ Trợ năng, được các tác nhân sử dụng để triển khai khung ATS hoàn chỉnh”, người Hà Lan công ty bảo mật cho biết trong một báo cáo được chia sẻ với The Hacker News.
Xenomorph lần đầu tiên xuất hiện cách đây một năm vào tháng 2 năm 2022, khi nó được phát hiện nhắm mục tiêu vào 56 ngân hàng châu Âu thông qua các ứng dụng nhỏ giọt được xuất bản trên Cửa hàng Google Play.
Ngược lại, phiên bản mới nhất của ngân hàng – có một trang web chuyên quảng cáo các tính năng của nó – được thiết kế để nhắm mục tiêu hơn 400 ngân hàng và tổ chức tài chính, bao gồm một số ví tiền điện tử.
ThreatFabric cho biết họ đã phát hiện các mẫu được phân phối qua Mạng phân phối nội dung (CDN) của Discord, một kỹ thuật đã chứng kiến sự gia tăng đột biến kể từ năm 2020. Hai trong số các ứng dụng có Xenomorph được liệt kê bên dưới –
Play Protect (com.Great.calm) Play Protect (mworthyness.mollah.presser)
“Xenomorph v3 được ứng dụng Zombinder triển khai ‘liên kết' với một công cụ chuyển đổi tiền tệ hợp pháp, ứng dụng này tải xuống dưới dạng ‘bản cập nhật' của một ứng dụng giả làm Google Protect,” ThreatFabric giải thích.
Zombinder đề cập đến một dịch vụ liên kết APK được quảng cáo trên web tối kể từ tháng 3 năm 2022, trong đó phần mềm độc hại được phân phối qua các phiên bản ứng dụng hợp pháp bị trojan hóa. Việc cung cấp kể từ đó đã bị đóng cửa.
Mục tiêu của chiến dịch mới nhất vượt ra ngoài trọng tâm châu Âu (tức là Tây Ban Nha, Ý và Bồ Đào Nha) để bao gồm các tổ chức tài chính của Bỉ và Canada.
Xenomorph, giống như phần mềm độc hại ngân hàng, được biết là lạm dụng Dịch vụ trợ năng để thực hiện hành vi gian lận thông qua các cuộc tấn công lớp phủ. Nó cũng tích hợp các khả năng tự động hoàn thành các giao dịch gian lận trên các thiết bị bị nhiễm, một kỹ thuật có tên là Hệ thống chuyển giao tự động (ATS).
Với việc các ngân hàng chuyển từ SMS để xác thực hai yếu tố (2FA) sang các ứng dụng xác thực, trojan Xenomorph kết hợp một mô-đun ATS cho phép nó khởi chạy ứng dụng và trích xuất mã xác thực.
Phần mềm độc hại Android còn tự hào về các chức năng đánh cắp cookie, cho phép các tác nhân đe dọa thực hiện các cuộc tấn công chiếm đoạt tài khoản.
Công ty cho biết: “Với những tính năng mới này, Xenomorph hiện có thể tự động hóa hoàn toàn toàn bộ chuỗi lừa đảo, từ lây nhiễm đến rút tiền, khiến nó trở thành một trong những trojan Phần mềm độc hại Android tiên tiến và nguy hiểm nhất đang lưu hành”.
