Xenomorph troyano que afecta cuentas bancarias en dispositivos Android

En febrero de 2022, ThreatFabric encontró un nuevo troyano bancario para Android El nombre proviene de sus claros vínculos con otro infame troyano bancario, Alien, del cual Xenomorph adopta nombres de clase y cadenas interesantes.

los usuarios de 56 bancos europeos diferentes se encuentran entre los objetivos de este nuevo troyano de malware para Android, distribuido en la tienda oficial de Google Play , con más de 50.000 instalaciones.

Distribución

Aparentemente, Google ha tomado algunas medidas para reducir la cantidad de aplicaciones maliciosas en el mercado de aplicaciones, pero a menudo estos esfuerzos no son suficientes para evitar que los delincuentes lleguen a la tienda. Como parte de nuestra búsqueda diaria de amenazas, los analistas de ThreatFabric detectan y reportan aplicaciones maliciosas en la tienda a Google.

Una de las aplicaciones descubiertas por ThreatFabric se hacía pasar por “Fast Cleaner”, una aplicación que apuntaba a acelerar el dispositivo eliminando el desorden no utilizado y eliminando los bloques de optimización de la batería. La aplicación en sí parecía exitosa, con más de 50.000 instalaciones reportadas en Google Play. Este no es un señuelo poco común, y hemos visto familias de malware como Vultur y Alien implementadas por dicha aplicación.

Servicios de accesibilidad

Este malware bancario para Android está en pleno desarrollo y, en su mayoría, es compatible con la lista mínima de características requeridas para un troyano bancario para Android moderno. Como se discutió anteriormente, su principal vector de ataque es el uso del ataque de superposición para robar credenciales, combinado con el uso de SMS y la interceptación de notificaciones para iniciar sesión y usar tokens 2FA potenciales.

El motor de accesibilidad que impulsa este malware, junto con la infraestructura y el protocolo C2, están cuidadosamente diseñados para ser escalables y actualizables.

La información almacenada por la capacidad de registro de este malware es muy extensa y, si se envía de vuelta al servidor C2, podría usarse para implementar el registro de teclas, así como para recopilar datos de comportamiento de las víctimas y de las aplicaciones instaladas, incluso si no son parte de la lista de objetivos.

Modus operandi

El principal vector de ataque de Xenomorph es el clásico ataque de superposición impulsado por los privilegios de los Servicios de Accesibilidad. Una vez que el malware está en funcionamiento en un dispositivo, sus servicios en segundo plano reciben eventos de accesibilidad cada vez que sucede algo nuevo en el dispositivo. si la aplicación abierta es parte de la lista de objetivos, entonces Xenomorph activará una inyección de superposición y mostrará una Actividad WebView haciéndose pasar por el paquete objetivo.

Objetivos

Como primer paso, el malware devuelve la lista de paquetes instalados en el dispositivo y, según la aplicación de destino que esté presente en el dispositivo, descarga las superposiciones correspondientes para inyectar. La lista de objetivos superpuestos devueltos por Xenomorph incluye objetivos de España, Portugal, Italia y Bélgica, así como algunas aplicaciones de uso general como servicios de correo electrónico y billeteras de criptomonedas.

La versión actual de Xenomorph es capaz de abusar de los Servicios de Accesibilidad para robar PII de víctimas desprevenidas, evitar la desinstalación e interceptar SMS y notificaciones. ThreatFabric predice que con algo más de tiempo para finalizar el desarrollo, este malware podría alcanzar niveles de amenaza más altos, comparables con otros troyanos bancarios para Android modernos.

referencia https://www.threatfabric.com/blogs/xenomorph-a-newly-hatched-banking-trojan.html