Il malware Android Xenomorph ha rilasciato una nuova versione che aggiunge notevoli capacità per condurre attacchi maligni, tra cui un nuovo framework per il trasferimento automatico (ATS) e la capacità di rubare credenziali di accesso per 400 banche.
Xenomorph è stato individuato per la prima volta da ThreatFabric nel febbraio 2022, quando è stata scoperta la prima versione del trojan bancario sul Google Play Store, dove ha raggiunto oltre 50.000 download.
Android trema per Xenomorph: il nuovo malware che ruba i dati bancari
La prima versione mirava a 56 banche europee utilizzando iniezioni per attacchi di overlay e abusando delle autorizzazioni dei servizi di accessibilità per eseguire l’intercettazione delle notifiche al fine di rubare codici monouso.
Lo sviluppo del malware è continuato nel corso del 2022 da parte dei suoi autori, “Hadoken Security”, ma le sue nuove versioni non sono mai state distribuite in grandi quantità.
Invece, Xenomorph v2, rilasciato nel giugno 2022, ha avuto solo brevi raffiche di attività di test nel wild. Tuttavia, la seconda versione è stata notevole per il suo completo rinnovamento del codice, che lo ha reso più modulare e flessibile.
Xenomorph v3 è molto più capace e maturo delle versioni precedenti, in grado di rubare automaticamente dati, inclusi credenziali di accesso, saldi degli account, eseguire transazioni bancarie e finalizzare trasferimenti di fondi.
“Con queste nuove funzionalità, Xenomorph è ora in grado di automatizzare l’intera catena di frode, dall’infezione all’esfiltrazione dei fondi, rendendolo uno dei trojan malware Android più avanzati e pericolosi in circolazione”, avverte ThreatFabric.
ThreatFabric riferisce che è probabile che Hadoken pianifichi di vendere Xenomorph agli operatori attraverso una piattaforma MaaS (malware as a service), e il lancio di un sito web che promuove la nuova versione del malware rafforza questa ipotesi.
Attualmente, Xenomorph v3 viene distribuito tramite la piattaforma ‘Zombinder’ sul Google Play Store, fingendosi un convertitore di valuta e passando all’utilizzo di un’icona Play Protect dopo l’installazione del payload maligno.
La nuova versione di Xenomorph mira a 400 istituti finanziari, principalmente dagli Stati Uniti, Spagna, Turchia, Polonia, Australia, Canada, Italia, Portogallo, Francia, Germania, Emirati Arabi Uniti e India.
Alcuni esempi di istituzioni bancarie mirate includono Chase, Citibank, American Express, ING, HSBC, Deutsche Bank, Wells Fargo, Amex, Citi, BNP, UniCredit, National Bank of Canada, BBVA, Santander e Caixa. La lista è troppo estesa per essere inclusa qui, ma ThreatFabric ha elencato tutte le banche mirate nell’appendice del suo rapporto.
La nuova versione del malware Xenomorph ha aggiunto la capacità di rubare dati da 13 portafogli di criptovaluta tra cui Binance, BitPay, KuCoin, Gemini e Coinbase. Questo significa che il malware potrebbe potenzialmente accedere ai portafogli di criptovaluta delle vittime e rubare le loro monete digitali. La capacità del malware di aggirare le protezioni MFA dei servizi di autenticazione delle applicazioni rende ancora più facile per i criminali informatici sottrarre i fondi dalle vittime. Questa nuova funzionalità aggiunge un livello di pericolo per gli utenti di criptovaluta che usano i loro dispositivi Android per accedere ai loro portafogli. Gli utenti sono incoraggiati ad adottare misure di sicurezza adeguate, come l’uso di autenticazione a più fattori e l’installazione di applicazioni solo da fonti affidabili, per proteggere i loro fondi digitali.
