A equipe do Zscaler ThreatLabz encontrou o trojan bancário chamado Xenomorph incorporado em um aplicativo Lifestyle na Google Play Store. O malware foi encontrado no aplicativo Todo: Day manager, que conta com mais de 1.000 downloads na loja do Google.
Malware Xenomorph encontrado na Play Store
O malware Xenomorph rouba informações de login dos aplicativos bancários dos dispositivos dos usuários. Além disso, tem a capacidade de interceptar mensagens e notificações SMS dos usuários, permitindo acesso a senhas de uso único e solicitações de autenticação multifator.
De acordo com a equipe do Zscaler ThreatLabz, “Nossa análise descobriu que o malware bancário Xenomorph é descartado do GitHub como um aplicativo falso do Google Service após a instalação do aplicativo”.
Ainda de acordo com a equipe, ele “começa pedindo aos usuários que ativem a permissão de acesso. Uma vez fornecido, ele se adiciona como administrador do dispositivo e impede que os usuários desativem o administrador do dispositivo, tornando-o desinstalável do telefone”.
Ciclo de Infecção do malware
O aplicativo obtém o URL do payload do malware bancário quando é iniciado pela primeira vez ao se conectar a um servidor Firebase. As amostras maliciosas de malware bancário Xenomorph são então baixadas do Github.
Mais tarde, para buscar mais comandos e espalhar a infecção, esse malware financeiro entra em contato com os servidores de comando e controle (C2) usando o conteúdo da página do Telegram ou uma rotina de código estático.
Os pesquisadores dizem que o malware encontrado na Play Store só baixará mais cargas úteis bancárias se o parâmetro “Enabled” estiver definido como verdadeiro. Além disso, a carga útil bancária tem o link da página do Telegram codificado com criptografia RC4. Após a execução, o payload bancário entrará em contato com a página do Telegram e baixará o conteúdo hospedado nessa página.
Aplicativo infectado
Em um caso, se um aplicativo legítimo for instalado no dispositivo infectado, ele exibirá a página de login falsa de um aplicativo bancário direcionado. Outro programa chamado “Expense Keeper” também foi visto pelo ThreatLabz como agindo de maneira semelhante, aponta o Security Affairs. Quando esta aplicação é executada, verifica-se que o “Parâmetro Ativado” está definido como falso.
A URL do Dropper para a carga bancária não pôde ser recuperada. Para o mesmo, o ThreatLabz colabora com a equipe de segurança do Google. Esses instaladores de phishing bancário frequentemente confiam em enganar os usuários para que instalem programas prejudiciais.
Os usuários precisam prestar atenção aos aplicativos que estão instalados. Um aplicativo da Play Store não deve exigir que os usuários o instalem de fontes não confiáveis Então, lembre-se disso!