Ερευνητές ανακάλυψαν μια νέα καμπάνια διανομής του Xenomorph malware, που στοχεύει χρήστες Android σε ΗΠΑ, Καναδά, Ισπανία, Ιταλία, Πορτογαλία και Βέλγιο.
Οι αναλυτές της εταιρείας κυβερνοασφάλειας ThreatFabric παρακολουθούν τη δραστηριότητα του Xenomorph από τον Φεβρουάριο του 2022. Η νέα καμπάνια, όμως, ξεκίνησε τον Αύγουστο του τρέχοντος έτους.
Η τελευταία έκδοση του Xenomorph στοχεύει χρήστες με crypto wallets και πελάτες διαφόρων χρηματοπιστωτικών ιδρυμάτων σε ΗΠΑ και αλλού.
Xenomorph Android malware
Το Xenomorph εντοπίστηκε για πρώτη φορά στις αρχές του 2022, λειτουργώντας ως banking trojan που στόχευε 56 ευρωπαϊκές τράπεζες μέσω screen overlay phishing. Η διανομή γινόταν μέσω του Google Play και η κακόβουλη εφαρμογή είχε πάνω από 50.000 εγκαταστάσεις.
Οι δημιουργοί του, η ομάδα “Hadoken Security“, συνέχισαν την ανάπτυξη του malware. Τον Ιούνιο του 2022, κυκλοφόρησαν μια νέα έκδοση που έκανε το κακόβουλο λογισμικό modular και πιο ευέλικτο.
Τον Αύγουστο του 2022, η ThreatFabric ανέφερε ότι το Xenomorph διανέμεται μέσω ενός νέου dropper με το όνομα “BugDrop“, το οποίο παρέκαμψε τις λειτουργίες ασφαλείας στο Android 13.
Δείτε επίσης: Οι Stealth Falcon hackers χρησιμοποιούν το νέο Deadglyph malware
Τον Δεκέμβριο του 2022, οι ίδιοι αναλυτές ανέφεραν για μια νέα πλατφόρμα διανομής κακόβουλου λογισμικού με την ονομασία “Zombinder“, η οποία ενσωμάτωσε την απειλή στο νόμιμο αρχείο APK εφαρμογών Android.
Πριν μερικούς μήνες, το Μάρτιο του 2023, εντοπίστηκε και μια νέα τρίτη σημαντική έκδοση του Xenomorph, που διαθέτει ένα αυτοματοποιημένο σύστημα μεταφοράς (ATS) για αυτόνομες συναλλαγές στη συσκευή, παράκαμψη MFA, κλοπή cookies και δυνατότητα στόχευσης πάνω από 400 τράπεζες.
Xenomorph Android malware: Νέα καμπάνια
Στην πιο πρόσφατη καμπάνια που ξεκίνησε τον Αύγουστο του 2023, οι χειριστές του Xenomorph Android malware επέλεξαν να χρησιμοποιήσουν σελίδες phishing, παρασύροντας τους επισκέπτες να ενημερώσουν τον Chrome browser τους στις κινητές τους συσκευές. Στόχος ήταν η λήψη του κακόβουλου APK.
Σύμφωνα με τους ερευνητές, το κακόβουλο λογισμικό συνεχίζει να χρησιμοποιεί overlays για την κλοπή πληροφοριών. Ωστόσο, τώρα έχει επεκτείνει το εύρος στόχευσης για να συμπεριλάβει τράπεζες από τις Ηνωμένες Πολιτείες και πολλαπλά crypto apps.
Η ThreatFabric εξηγεί ότι κάθε δείγμα Xenomorph είναι φορτωμένο με περίπου εκατό overlays που στοχεύουν διαφορετικά σύνολα τραπεζών και crypto apps, ανάλογα με το στοχευόμενο δημογραφικό στοιχείο.
“[..]αυτή η τελευταία καμπάνια πρόσθεσε επίσης πολλά χρηματοπιστωτικά ιδρύματα από τις Ηνωμένες Πολιτείες, μαζί με πολλαπλές εφαρμογές crypto wallets, που συνολικά ξεπερνούν τους 100 διαφορετικούς στόχους ανά δείγμα, καθένα χρησιμοποιώντας ένα ειδικά κατασκευασμένο overlay για να κλέψει πολύτιμα PII από τη μολυσμένη συσκευή του θύματος“, λέει η εταιρεία ThreatFabric.
Δείτε επίσης: BBTok trojan: Στοχεύει πελάτες 40 τραπεζών στη Λατινική Αμερική
Νέα έκδοση του malware
Αν και τα νέα δείγματα Xenomorph δεν διαφέρουν πολύ από τις προηγούμενες παραλλαγές, διαθέτουν ορισμένα νέα χαρακτηριστικά.
Αρχικά, υπάρχει μια νέα δυνατότητα “mimic“, που μπορεί να ενεργοποιηθεί με μια αντίστοιχη εντολή, ώστε να μπορεί το κακόβουλο λογισμικό να λειτουργεί σαν κάποια άλλη εφαρμογή.
Αυτή η δυνατότητα έχει ενσωματωμένο και ένα άλλο activity που ονομάζεται IDLEActivity, που λειτουργεί ως WebView για την εμφάνιση νόμιμου web content από το πλαίσιο μιας αξιόπιστης διαδικασίας. Με αυτόν τον τρόπο, δεν υπάρχει ανάγκη απόκρυψης εικονιδίων από την εφαρμογή εκκίνησης μετά την εγκατάσταση (κάτι που επισημαίνεται ως ύποπτη συμπεριφορά από τα περισσότερα εργαλεία ασφαλείας).
Ένα άλλο νέο χαρακτηριστικό είναι το “ClickOnPoint“, το οποίο επιτρέπει στους χειριστές του Xenomorph Android malware να προσομοιώνουν χτυπήματα (taps) σε συγκεκριμένες συντεταγμένες οθόνης. Αυτό επιτρέπει στους χειριστές να περάσουν από τις οθόνες επιβεβαίωσης ή να εκτελούν άλλες απλές ενέργειες χωρίς να χρησιμοποιούν το πλήρες ATS module, που μπορεί να οδηγήσει στην εμφάνιση προειδοποιήσεων ασφαλείας.
Τέλος, υπάρχει ένα νέο σύστημα “antisleep” που εμποδίζει τη συσκευή να σβήσει την οθόνη της. Αυτό είναι χρήσιμο για την αποφυγή διακοπών που απαιτούν την αποκατάσταση command and control communications.
Άλλα ευρήματα
Οι ερευνητές ασφαλείας της ThreatFabric μπόρεσαν να αποκτήσουν πρόσβαση στην υποδομή φιλοξενίας payload των επιτιθέμενων και ανακάλυψαν και άλλα κακόβουλα payloads πέρα από το Xenomorph Android malware. Μερικά από αυτά ήταν οι Android παραλλαγές των Medusa και Cabassous malware, τα Windows information stealers RisePro and LummaC2 και το Private Loader malware loader.
Τα παραπάνω δείχνουν ότι πρέπει να είμαστε πολύ προσεκτικοί με ειδοποιήσεις σε κινητά που μιλούν για υποτιθέμενη ενημέρωση του browser μας, καθώς είναι πιθανό να αποτελούν μέρος καμπανιών διανομής κακόβουλου λογισμικού.
Δείτε επίσης: TikTok: Πλαστά βίντεο διασημοτήτων με κωδικούς Temu
Η διανομή του Xenomorph μαζί με ισχυρό κακόβουλο λογισμικό των Windows υποδηλώνει τη συνεργασία μεταξύ επιτιθέμενων ή την πιθανότητα πώλησης του Android trojan ως Malware-as-a-Service (MaaS).
Τα Android malware, όπως το Xenomorph, αποτελούν μια συνεχώς αυξανόμενη απειλή για τις κινητές συσκευές. Παρά τις βελτιώσεις στην ασφάλεια, οι επιτιθέμενοι βρίσκουν διαρκώς νέους τρόπους να παρακάμπτουν τα συστήματα ασφαλείας και να εισβάλλουν στις συσκευές. Είναι σημαντικό για τους χρήστες να παραμένουν ενήμεροι για τις τελευταίες απειλές και να χρησιμοποιούν προστασία antivirus, να ενημερώνουν τις εφαρμογές και το λειτουργικό σύστημα τους και να προσέχουν τις ιστοσελίδες και τα μηνύματα που ανοίγουν.
Πηγή: www.bleepingcomputer.com
