Si chiama Xenomorph ed è l’ultima minaccia malware sviluppata per i sistemi Android scoperta dalla società di sicurezza ThreatFabric.
Avvistato per la prima volta questo mese, il malware Xenomorph è un classico trojan bancario che infetta gli smartphone Android, richiede l’accesso al servizio Accessibilità, e poi utilizza uno strumento potente per mostrare finte schermate di accesso in cima alle applicazioni di mobile banking.
Il malware raccoglie queste informazioni, insieme ad altri dati del dispositivo, e le invia ai server di comando e controllo (C&C) del suo proprietario.
Questi dati vengono poi utilizzati per accedere ai conti bancari e rubare i fondi. Nel caso in cui i conti siano protetti con l’autenticazione a due fattori, Xenomorph può anche intercettare le notifiche dei messaggi SMS e recuperare il codice per gli attaccanti.
Xenomorph-caratteristiche
ThreatFabric sostiene che, sulla base dei campioni di malware che hanno trovato finora, Xenomorph potrebbe mostrare schermate di accesso false per 56 banche di Spagna, Portogallo, Italia e Belgio.
Inoltre, può anche mostrare false schermate di accesso per 12 portafogli mobili di criptovaluta e sette app di posta elettronica. Mentre molti trojan bancari Android oggi si diffondono utilizzando app su store di terze parti o tramite siti web dedicati, Xenomorph fa parte di un gruppo selezionato di ceppi di malware che sono stati distribuiti tramite il Google Play Store ufficiale.
Il team di ThreatFabric ha detto che Xenomorph viene offerto come payload di secondo livello all’interno di app dannose che sono riuscite a superare i controlli di sicurezza del Play Store di Google.
Queste app in genere nascondono un piccolo ceppo di malware chiamato “dropper” che, una volta superati questi controlli, scaricherà malware più potente e intrusivo su un dispositivo.
Negli attacchi che ha individuato questo mese, ThreatFabric ha detto di aver visto Xenomorph installarsi sui dispositivi degli utenti tramite un dropper chiamato Gymdrop.
Per ora, hanno individuato infezioni Xenomorph solo attraverso l’app “Fast Cleaner“, installata su più di 50.000 dispositivi, prima che fosse rimossa dal Play Store.
Mentre i ricercatori sostengono che il malware sembra essere ancora in fase di sviluppo, è chiaro che è rappresentata una nuova grande minaccia che è qui per rimanere, e si aspettano nuovi attacchi in futuro.
ThreatFabric ha dato il nome Xenomorph perché ha trovato indizi nel suo codice che collegano molte delle sue caratteristiche con un vecchio trojan bancario Android noto come Alien e si è ispirato alla serie di film Alien.
