O malware Xenomorph Android lançou uma nova versão que adiciona recursos significativos para conduzir ataques maliciosos, incluindo uma nova estrutura de sistema de transferência automatizada (ATS) e a capacidade de roubar credenciais para 400 bancos.
O Xenomorph foi descoberto pela primeira vez pela ThreatFabric em fevereiro de 2022, que descobriu a primeira versão do trojan bancário na loja Google Play, onde acumulou mais de 50.000 downloads.
Essa primeira versão visava 56 bancos europeus que usavam injeções para ataques de sobreposição e abusaram das permissões dos Serviços de Acessibilidade para realizar a interceptação de notificações para roubar códigos únicos.
O desenvolvimento do malware continuou ao longo de 2022 por seus autores, “Hadoken Security”, mas suas versões mais recentes nunca foram distribuídas em grandes volumes.
Em vez disso, o Xenomorph v2, que foi lançado em junho de 2022, teve apenas rajadas curtas de atividade de teste na natureza. No entanto, a segunda versão foi notável por sua revisão completa do código, o que a tornou mais modular e flexível.
Xenomorph v3 é muito mais capaz e maduro do que as versões anteriores, capaz de roubar automaticamente dados, incluindo credenciais, saldos de contas, realizar transações bancárias e finalizar transferências de fundos.
Malware Xenomorph Android rouba dados de 400 bancos
“Com esses novos recursos, o Xenomorph agora é capaz de automatizar toda a cadeia de fraudes, desde a infecção até a exfiltração de fundos, tornando-o um dos trojans Android Malware mais avançados e perigosos em circulação”, adverte o ThreatFabric.
A ThreatFabric relata que é provável que a Hadoken planeje vender o Xenomorph para operadoras por meio de uma plataforma MaaS (malware como serviço), e o lançamento de um site promovendo a nova versão do malware fortalece essa hipótese.
Atualmente, o Xenomorph v3 está sendo distribuído através da plataforma ‘Zombinder’ na Google Play Store, posando como um conversor de moeda e mudando para o uso de um ícone do Play Protect após a instalação da carga maliciosa.
Novos alvos Xenomorfos
A versão mais recente do Xenomorph tem como alvo 400 instituições financeiras, principalmente dos Estados Unidos, Espanha, Turquia, Polônia, Austrália, Canadá, Itália, Portugal, França, Alemanha, Emirados Árabes Unidos e Índia.
Alguns exemplos de instituições alvo incluem Chase, Citibank, American Express, ING, HSBC, Deutsche Bank, Wells Fargo, Amex, Citi, BNP, UniCredit, Banco Nacional do Canadá, BBVA, Santander e Caixa.
A lista é muito extensa para incluir aqui, mas o ThreatFabric listou todos os bancos visados no apêndice de seu relatório.
Além disso, o malware tem como alvo 13 carteiras de criptomoedas, incluindo Binance, BitPay, KuCoin, Gemini e Coinbase.
Notícias Relacionadas
Alerta cibernético
Malware IOCONTROL mira dispositivos IoT e SCADA com foco crítico em Linux
O malware IOCONTROL, vinculado ao Irã, visa dispositivos IoT e SCADA em Israel e EUA. Com capacidade modular, ele atinge infraestruturas críticas e utiliza protocolos como MQTT para ocultar tráfego malicioso.
Malware linux
Novo malware Pumakit atinge Linux com técnicas furtivas de rootkit
Descoberto um novo rootkit para Linux chamado Pumakit, que usa técnicas avançadas para ocultar sua presença. Com múltiplos componentes, o malware visa escalonamento de privilégios e espionagem.
Bypass automático de MFA
O recurso mais notável introduzido na nova versão do Xenomorph é a estrutura ATS, que permite que os cibercriminosos extraiam credenciais automaticamente, verifiquem saldos de contas, realizem transações e roubem dinheiro de aplicativos de destino sem executar ações remotas.
Em vez disso, o operador simplesmente envia scripts JSON que o Xenomorph converte em uma lista de operações e os executa de forma autônoma no dispositivo infectado.
“O mecanismo [de execução ATS] usado pelo Xenomorph se destaca de sua concorrência graças à extensa seleção de possíveis ações que são programáveis e podem ser incluídas em scripts ATS, além de um sistema que permite a execução condicional e a priorização de ações”, explica os pesquisadores do ThreatFabrics.
Um dos recursos mais impressionantes da estrutura ATS do malware é sua capacidade de registrar o conteúdo de aplicativos de autenticação de terceiros, superando as proteções MFA (autenticação multifator) que, de outra forma, bloqueariam transações automatizadas.
Extraindo códigos do Google Authenticator
Os bancos estão gradualmente abandonando o SMS MFA e, em vez disso, sugerem que os clientes usem aplicativos autenticadores, portanto, ver a capacidade do Xenomorph de acessar esses aplicativos no mesmo dispositivo é perturbador.
Ladrão de cookies
Além do acima, o novo Xenomorph possui um ladrão de cookies que pode roubar cookies do Android CookieManager, que armazena os cookies de sessão do usuário.
O ladrão inicia uma janela do navegador com a URL de um serviço legítimo com a interface JavaScript ativada, enganando a vítima para inserir seus detalhes de login.
Os agentes de ameaças roubam o cookie, o que torna possível sequestrar as sessões da web da vítima e assumir suas contas.
Um malware Android para se preocupar
O Xenomorph foi um novo malware notável que entrou no espaço do cibercrime há um ano.
Agora, com o lançamento de sua terceira versão principal, é uma ameaça muito maior para os usuários do Android em todo o mundo.
Considerando seu canal de distribuição atual, o Zombinder, os usuários devem ser cautelosos com os aplicativos que instalam do Google Play, ler avaliações e executar verificações de antecedentes no editor.
Geralmente, é aconselhável manter o número de aplicativos em execução no seu telefone ao mínimo possível e instalar apenas aplicativos de fornecedores conhecidos e confiáveis.
