Quando o assunto é campanha de distribuição de malware, os cibercriminosos não param. Agora, por exemplo, uma nova campanha está espalhando o malware Xenomorph para usuários do Android nos Estados Unidos, Espanha, Portugal, Itália, Canadá e Bélgica.
O malware
Pesquisadores da ThreatFabric descobriram essa nova campanha espalhando malware Xenomorph para usuários de Android nos Estados Unidos e em todo o mundo. O Xenomorph foi detectado em fevereiro de 2022 e foi distribuído pela Google Play Store oficial, alcançando mais de 50.000 instalações.
O Trojan bancário foi usado para atingir 56 bancos europeus e roubar informações confidenciais dos dispositivos dos seus clientes. A análise do código revelou a presença de funcionalidades não implementadas e a grande quantidade de registos presentes, circunstância que sugere que esta ameaça está em desenvolvimento ativo.
O malware Xenomorph compartilha semelhanças com o trojan bancário Alien, mas possui funcionalidades radicalmente diferentes das do Alien. Os especialistas perceberam que o programa foi continuamente aprimorado ao longo de 2022 e foi distribuído em pequenas campanhas.
Malware Xenomorph sendo espalhado no Android
As operadoras primeiro distribuíram o malware Android por meio da operação GymDrop dropper, depois o código malicioso também foi distribuído por meio da operação Zombinder. Em março, especialistas alertaram sobre uma nova variante rastreada como Xenomorph.C que foi significativamente melhorada.
A nova variante suporta uma nova estrutura de sistema de transferência automatizada (ATS) e pode atingir mais de 400 bancos e instituições financeiras, principalmente de Espanha, Turquia, Polónia, Estados Unidos, Austrália, Canadá, Itália, Portugal, França, Alemanha, Emirados Árabes Unidos e Índia.
Esta nova versão do malware adiciona muitos novos recursos a um Android Banker já rico em recursos, mais a introdução de um mecanismo de tempo de execução muito extenso alimentado por serviços de acessibilidade, que é usado pelos atores para implementar uma estrutura ATS completa.
Com esses novos recursos, o Xenomorph agora é capaz de automatizar completamente toda a cadeia de fraude, desde a infecção até a exfiltração de fundos, tornando-o um dos trojans de malware Android mais avançados e perigosos em circulação.
A lista adiciona dezenas de novas sobreposições para instituições dos Estados Unidos, Portugal e várias carteiras criptografadas.
A campanha também teve como alvo utilizadores em Espanha, Portugal, Itália, Canadá e Bélgica. Ao investigar a campanha, os pesquisadores notaram que os agentes da ameaça cometeram um erro importante ao expor sem restrições a pasta do servidor que contém os arquivos necessários para distribuir o malware. Isso permitiu aos pesquisadores monitorar o servidor, identificando vários arquivos interessantes.
Um dos arquivos, denominado count.txt, contém uma lista de entradas (IPs, agentes de usuário e datas) que eram a lista dos sistemas visados que tentavam baixar a carga útil da página de phishing. A maioria dos downloads veio da Espanha.
As novas amostras do Xenomorph não apresentam grandes modificações em relação à iteração anterior. Outro novo recurso implementado na amostra mais recente é o “ClickOnPoint”, que permite ao malware simular toques em coordenadas específicas da tela.