Világszerte közel 400 bank ügyfelét vette célba a Xenomorph androidos rosszindulatú program egy újabb verziója. A malware készítője, a Hadoken Security Group az elmúlt egy évben számos fejlesztést eszközölt a káros programon.
A Xenomorph egy, a ThreatFabric kutatói által még 2022 februárjában felfedezett androidos kártevő, amelyet akkoriban 50 000-en telepítettek a Google Play alkalmazásboltból. Az akkori verzióval közel 56 európai bankot vettek célba a malware készítői, a rosszindulatú műveletek pedig a felhasználók érzékeny adatainak megszerzésére irányultak.
A szakértők szerint az elmúlt egy évben a Xenomorph folyamatos fejlesztéseken esett át, és kisebb kampányokban kezdték terjeszteni, elsőként a GymDrop nevű dropper alkalmazás segítségével, majd a Zombinder darknetes platformon keresztül.
A szakértők Xenomorph.C néven hivatkoznak a malware új változatára, ami számos új funkcióval bír, többek között támogatja az új automata átutalási rendszer (ATS) keretrendszerét, amivel a támadók képesek automatizálni a teljes támadási folyamatot. Ennek köszönhetően a malware képes emberi beavatkozás nélkül, automatizáltan kinyerni a hitelesítő adatokat, beleértve a harmadik fél – például a Google Authenticator – által kezelt kétfaktoros hitelesítő (2FA) kódokat is, ellenőrizni tudja a felhasználók számlaegyenlegeit és lebonyolítja a tranzakciókat is. A ThreatFabric ezen felül olyan mintákat is azonosított, amik a célpontok konfigurációs listáját is tartalmazták, ennek köszönhetően pedig a támadók több mint 400 – elsősorban Spanyolország, Törökország, Lengyelország, Egyesült Államok, Ausztrália, Kanada, Olaszország, Portugália, Franciaország, Németország, az Egyesült Arab Emírségek és India – bank-és pénzintézetet tudnak célba venni. Az új verzió képes ellopni az ún. “webes sütiket” (cookie) is, ezáltal hozzáférhetnek az áldozatok bejelentkezési adataihoz a nyitott munkameneteken keresztül.
A Xenomorph.C további funkcióival kapcsolatban a ThreatFabric jelentésében olvasható részletesebb leírás.