Ερευνητές ασφαλείας ανακάλυψαν μια νέα καμπάνια που διανέμει μια νέα έκδοση του κακόβουλου λογισμικού Xenomorph σε χρήστες Android στις Ηνωμένες Πολιτείες, τον Καναδά, την Ισπανία, την Ιταλία, την Πορτογαλία και το Βέλγιο.
Οι αναλυτές της εταιρείας κυβερνοασφάλειας ThreatFabric παρακολουθούν τη δραστηριότητα της Xenomorph από τον Φεβρουάριο του 2022 και σημειώνουν ότι η νέα καμπάνια ξεκίνησε στα μέσα Αυγούστου.
Η τελευταία έκδοση του Xenomorph στοχεύει χρήστες πορτοφολιών κρυπτονομισμάτων και διάφορα χρηματοπιστωτικά ιδρύματα των ΗΠΑ.
Ξενομορφικό φόντο
Το Xenomorph εμφανίστηκε για πρώτη φορά στη φύση στις αρχές του 2022, λειτουργώντας ως τραπεζικό trojan που στόχευε 56 ευρωπαϊκές τράπεζες μέσω phishing με επικάλυψη οθόνης. Διανεμήθηκε μέσω του
Google
Play, όπου μετρούσε πάνω από 50.000 εγκαταστάσεις.
Οι δημιουργοί του, το “Hadoken Security”, συνέχισαν την ανάπτυξη και τον Ιούνιο του 2022, κυκλοφόρησαν μια ξαναγραμμένη έκδοση που έκανε το κακόβουλο λογισμικό αρθρωτό και πιο ευέλικτο.
Μέχρι τότε, η Xenomorph βρισκόταν στη δεκάδα των πιο παραγωγικών τραπεζικών trojans του Zimperium, οπότε είχε ήδη αποκτήσει το καθεστώς της «μείζονος απειλής».
Τον Αύγουστο του 2022, η ThreatFabric ανέφερε ότι το Xenomorph διανέμεται μέσω ενός νέου σταγονόμετρου με το όνομα “BugDrop”, το οποίο παρέκαμψε τις λειτουργίες ασφαλείας στο Android 13.
Τον Δεκέμβριο του 2022, οι ίδιοι αναλυτές ανέφεραν για μια νέα πλατφόρμα διανομής κακόβουλου λογισμικού με την ονομασία “Zombinder”, η οποία ενσωμάτωσε την απειλή στο νόμιμο αρχείο APK εφαρμογών Android.
Πιο πρόσφατα, τον Μάρτιο του 2023, η Hadoken κυκλοφόρησε την τρίτη σημαντική έκδοση του Xenomorph, που διαθέτει ένα αυτοματοποιημένο σύστημα μεταφοράς (ATS) για αυτόνομες συναλλαγές στη
συσκευή
, παράκαμψη MFA, κλοπή cookie και τη δυνατότητα στόχευσης πάνω από 400 τράπεζες.
Νέα καμπάνια
Στην πιο πρόσφατη καμπάνια, οι χειριστές κακόβουλου λογισμικού επέλεξαν να χρησιμοποιήσουν σελίδες phishing, παρασύροντας τους επισκέπτες να ενημερώσουν το πρόγραμμα περιήγησής τους Chrome και να τους εξαπατήσουν ώστε να κατεβάσουν το κακόβουλο APK.
Ψεύτικη ειδοποίηση ενημέρωσης Chrome
(ThreatFabric)
Το κακόβουλο λογισμικό συνεχίζει να χρησιμοποιεί επικαλύψεις για την κλοπή πληροφοριών. Ωστόσο, τώρα έχει επεκτείνει το εύρος στόχευσης για να συμπεριλάβει χρηματοπιστωτικά ιδρύματα από τις Ηνωμένες Πολιτείες και πολλαπλές εφαρμογές κρυπτονομισμάτων.
Μηχανισμός επικάλυψης στο τελευταίο Xenomorph
(ThreatFabric)
Το ThreatFabric εξηγεί ότι κάθε δείγμα Xenomorph φορτώνεται με περίπου εκατό επικαλύψεις που στοχεύουν διαφορετικά σύνολα τραπεζών και εφαρμογών κρυπτογράφησης, ανάλογα με τα δημογραφικά στοιχεία που στοχεύουν.
Αριθμός στόχων που παρατηρήθηκαν σε πρόσφατα δείγματα
(ThreatFabric)
ThreatFabric
Τραπεζικά trojans που στοχεύουν αμερικανικά ιδρύματα
(ThreatFabric)
Τελευταία έκδοση
Αν και τα νέα δείγματα Xenomorph δεν διαφέρουν πολύ από τις προηγούμενες παραλλαγές, συνοδεύονται από ορισμένα νέα χαρακτηριστικά που υποδεικνύουν ότι οι δημιουργοί του συνεχίζουν να βελτιώνουν και να βελτιώνουν το κακόβουλο λογισμικό.
Πρώτον, μια νέα δυνατότητα “μίμησης” μπορεί να ενεργοποιηθεί με μια αντίστοιχη εντολή, δίνοντας στο κακόβουλο λογισμικό τη δυνατότητα να λειτουργεί ως άλλη εφαρμογή.
Επιπλέον, μιμηθείτε
,
έχει μια ενσωματωμένη δραστηριότητα που ονομάζεται IDLEActivity, η οποία λειτουργεί ως WebView για την εμφάνιση νόμιμου περιεχομένου ιστού από το πλαίσιο μιας αξιόπιστης διαδικασίας.
Αυτό το σύστημα αντικαθιστά την ανάγκη απόκρυψης εικονιδίων από την εφαρμογή εκκίνησης μετά την εγκατάσταση, η οποία επισημαίνεται ως ύποπτη συμπεριφορά από τα περισσότερα εργαλεία ασφαλείας για κινητά.
Το νέο μιμητικό σύστημα της Xenomorph
(ThreatFabric)
Ένα άλλο νέο χαρακτηριστικό είναι το “ClickOnPoint”, το οποίο επιτρέπει στους χειριστές Xenomorph να προσομοιώνουν χτυπήματα σε συγκεκριμένες συντεταγμένες οθόνης.
Αυτό επιτρέπει στους χειριστές να περάσουν από τις οθόνες επιβεβαίωσης ή να εκτελούν άλλες απλές ενέργειες χωρίς να χρησιμοποιούν την πλήρη μονάδα ATS, η οποία μπορεί να προκαλέσει προειδοποιήσεις ασφαλείας.
Τέλος, υπάρχει ένα νέο σύστημα “αντιύπνου” που εμποδίζει τη συσκευή να σβήσει την οθόνη της μέσω μιας ενεργής ειδοποίησης.
Αυτό είναι χρήσιμο για την παράταση της εμπλοκής και την αποφυγή διακοπών που απαιτούν την αποκατάσταση των επικοινωνιών διοίκησης και ελέγχου.
Άλλα ευρήματα
Εκμεταλλευόμενοι τα ασθενή μέτρα ασφαλείας από τον χειριστή κακόβουλου λογισμικού, οι αναλυτές του ThreatFabric μπορούσαν να έχουν πρόσβαση στην υποδομή φιλοξενίας ωφέλιμου φορτίου.
Εκεί, ανακάλυψαν επιπλέον κακόβουλα ωφέλιμα φορτία, συμπεριλαμβανομένων των παραλλαγών κακόβουλου λογισμικού Android Medusa και Cabassous, των
Windows
που κλέβουν πληροφορίες RisePro και LummaC2 και του Private Loader malware loader.
Οι χρήστες θα πρέπει να είναι προσεκτικοί με τις προτροπές σε κινητά να ενημερώσουν τα προγράμματα περιήγησής τους, καθώς είναι πιθανό να αποτελούν μέρος καμπανιών διανομής κακόβουλου λογισμικού.
Η διανομή του Xenomorph μαζί με ισχυρό κακόβουλο λογισμικό των Windows υποδηλώνει τη συν
εργασία
μεταξύ των παραγόντων απειλής ή την πιθανότητα πώλησης του trojan Android ως Malware-as-a-Service (MaaS).