Secondo la società di sicurezza olandese ThreatFabric una versione aggiornata del trojan bancario Android chiamato Xenomorph ha preso di mira decine di istituti finanziari anche in Italia. Tra gli altri paesi target figurano Stati Uniti, Spagna, Canada, Portogallo e Belgio. A rischio anche diversi portafogli di criptovalute.
Elenco app italiane prese di mira
Il trojan bancario Xenomorph
Una peculiare funzionalità del malware è quella di condurre frodi utilizzando il Framework Automated Transfer System (ATS) che consente di estrarre automaticamente credenziali, avviare transazioni, ottenere token MFA dalle app di autenticazione ed eseguire trasferimenti di fondi, il tutto senza alcuna interazione da parte dell’utente. In pratica tale funzionalità consente agli operatori criminali di prendere il controllo completo del dispositivo target abusando dei privilegi di accessibilità di Android. Secondo i ricercatori sarebbero i dispositivi Samsung e Xiaomi i più colpiti ovvero circa il 50% dell’intera quota di mercato del robottino verde. Il malware sfrutta anche gli attacchi overlay per rubare informazioni sensibili sovrapponendo una falsa schermata di accesso una volta aperta l’app bancaria prese di mira sul telefono compromesso. Inoltre il malware nasconde la propria icona dal launcher della schermata iniziale al momento dell’installazione per evitare il rilevamento da parte dell’utente.
Nuova distribuzione e funzionalità
La recente campagna sfrutterebbe pagine Web di phishing per indurre le vittime a installare app Android dannose. Rispetto alle versioni precedenti del trojan bancario che venivano distribuite come utility legittime sul Google Play Store, quest’ultima versione (da metà agosto 2023) verrebbe distribuita attraverso siti contraffatti che offrono aggiornamenti per il browser Chrome. Le nuove funzionalità aggiunte alle ultime versioni di Xenomorph includono una funzione antisleep che impedisce allo schermo del telefono di spegnersi, un’opzione ClickOnPoint per simulare un semplice tocco su una specifica coordinata dello schermo e la Mimic function che dà la possibilità al malware di agire come qualsiasi altra applicazione.
Conclusioni
L’analisi avrebbe portato ThreathFabric a scoprire anche ulteriori payload piuttosto noti, tra cui varianti di malware Android Medusa e Cabassous, i Desktop Stealer Windows RisePro e LummaC2 e il caricatore Private Loader distribuiti parallelamente a Xenomorph.
“Il fatto che abbiamo visto Xenomorph distribuito fianco a fianco con potenti desktop stealer è una notizia molto interessante. Potrebbe indicare una connessione tra gli autori delle minacce dietro ciascuno di questi malware, oppure potrebbe significare che Xenomorph viene ufficialmente venduto come MaaS agli attori, che lo gestiscono insieme ad altre famiglie di malware. In ogni caso, indica un’attività di Xenomorph che non abbiamo mai visto prima, ma che potremmo vedere molto nel prossimo futuro“, conclude il rapporto.
Il continuo sviluppo delle funzionalità ha reso Xenomorph una seria minaccia per gli utenti Android. Pertanto si consiglia sempre cautela nello scaricare e installare app da siti web e store non certificati.
Al momento della stesura di questo articolo, la nuova variante del malware non risulta ancora riconosciuta da molte soluzioni di sicurezza.
