Киберпреступники, стоящие за сложным банковским трояном для Android под названием Xenomorph, который уже более года активно атакует пользователей в Европе, недавно нацелились на клиентов более двух десятков американских банков.
Среди тех, кто попал в прицел злоумышленников, — клиенты крупных финансовых учреждений, таких как Chase, Amex, Ally, Citi Mobile, Citizens Bank, Bank of America и Discover Mobile. Новые образцы вредоносного ПО, проанализированные исследователями ThreatFabric, показали, что оно также содержит дополнительные функции, нацеленные на несколько криптокошельков, включая Bitcoin, Binance и Coinbase.
Пострадали тысячи пользователей Android
В отчете, опубликованном на этой неделе, нидерландский поставщик кибербезопасности сообщил, что тысячи пользователей Android в США и Испании, начиная с августа, загрузили вредоносное ПО в свои системы.
«Ксеноморф после нескольких месяцев перерыва вернулся, и на этот раз с кампаниями по распространению, нацеленными на некоторые регионы, которые исторически представляли интерес для этой семьи, например, Испанию или Канаду, и добавлением большого списка целей из Соединенных Штатов». ThreatFabric сказал. Пользователи Android-устройств от Samsung и Xiaomi, которые вместе занимают около 50% рынка Android, представляют особый интерес для злоумышленника.
Вредоносные программы, такие как Xenomorph, подчеркивают растущий и все более изощренный характер мобильных угроз, особенно для пользователей Android. А исследование, опубликованное Zimperium Ранее в этом году было показано, что злоумышленники значительно больше интересуются Android, чем iOS, из-за большего количества уязвимостей, присутствующих в среде Android. Компания Zimperium обнаружила, что разработчики приложений для Android также склонны совершать больше ошибок при разработке приложений, чем разработчики для iOS.
На данный момент рекламное ПО и другие потенциально нежелательные приложения остаются главной угрозой для пользователей Android. А вот банковские трояны, такие как Xenomorph все большую угрозу для этих устройств. В первом квартале 2023 года доля банковских троянов в процентах от всех остальных мобильных угроз увеличился почти до 19% по сравнению с 18% в предыдущем квартале. Наиболее заметными среди них были трояны удаленного доступа с возможности кражи банковской информации такие как SpyNote.C, Hook, Malibot и Triada.
Чужой ксеноморфу
ThreatFabric был впервые сообщил о ксеноморфе в феврале 2022 года после обнаружения банковского трояна, маскирующегося под законные приложения и утилиты, в магазине мобильных приложений Google Play. Одним из них было приложение Fast Cleaner, которое должно было убрать беспорядок и оптимизировать время автономной работы, но также стремилось украсть учетные данные счетов, принадлежащих клиентам примерно 56 крупных европейских банков. Более 50,000 XNUMX пользователей Android загрузили приложение на свои устройства Android.
В то время вредоносное ПО все еще находилось в стадии активной разработки. Его многочисленные функции включали в себя сбор информации об устройствах, перехват SMS-сообщений и возможность захвата онлайн-аккаунтов. По оценкам компании, разработчики Xenomorph, скорее всего, были теми же самыми (или имели какое-то отношение к ним) разработчиками другого мощного трояна удаленного доступа к Android под названием Alien.
Как и другие банковские вредоносные программы, Xenomorph содержал наложения, которые подделывали страницы входа в учетные записи всех целевых банков, как обнаружили исследователи в своем анализе 2022 года. Поэтому, когда пользователь Android со взломанным устройством пытался войти в учетную запись в любом из банков из целевого списка, вредоносная программа автоматически отображала поддельную версию страницы входа в этот банк для захвата имен пользователей, паролей и другой информации об учетной записи. Xenomorph также поддерживает функции перехвата и кражи токенов двухфакторной аутентификации, отправленных через SMS-сообщения, что дает злоумышленникам возможность захватить онлайн-аккаунты и украсть с них средства.
Вступайте в новую кампанию в августе 2023 года: в этом последнем раунде злоумышленники, похоже, изменили свой основной механизм распространения вредоносного ПО. Вместо того, чтобы переправлять Xenomorph в Google Play, операторы вредоносного ПО теперь распространяют его через фишинговые веб-страницы. Во многих случаях эти страницы предположительно являются доверенными сайтами обновлений браузера Chrome или веб-сайтами магазина Google Play.
Одним из примечательных аспектов самой последней версии Xenomorph является сложная и гибкая структура системы автоматического перевода (ATS), предназначенная для автоматического перевода средств со взломанного устройства на устройство, контролируемое злоумышленником. Механизм ATS Xenomorph содержит несколько модулей, которые позволяют злоумышленнику взять под контроль скомпрометированное устройство и выполнить различные вредоносные действия.
К ним относятся модули, которые позволяют вредоносному ПО предоставлять себе все разрешения, необходимые для беспрепятственной работы на взломанном устройстве. Другие функции позволяют вредоносному ПО отключать настройки, отклонять предупреждения системы безопасности, останавливать перезагрузку и удаление устройств, а также предотвращать отзыв определенных привилегий. Многие из этих функций присутствовали и в первоначальных версиях.
Новыми являются возможности, которые позволяют вредоносному ПО записывать данные в хранилище и предотвращать переход скомпрометированного устройства в «спящий» режим.
«Xenomorph сохраняет свой статус чрезвычайно опасного банковского вредоносного ПО для Android, обладающего очень универсальным и мощным движком ATS, с несколькими уже созданными модулями и идеей поддержки устройств нескольких производителей», — заявили в ThreatFabric.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/remote-workforce/xenomorph-android-malware-targets-customers-of-30-us-banks
- :является
- 000
- 2022
- 2023
- 30
- 50
- a
- О нас
- доступ
- Учетная запись
- Учетные записи
- действия
- активный
- активно
- актеры
- добавить
- дополнительный
- После
- Оповещения
- иностранец
- Все
- позволять
- Союзник
- уже
- причислены
- Америка
- AMEX
- среди
- an
- анализ
- проанализированы
- и
- android
- Android-приложение
- Другой
- любой
- приложение
- магазин приложений
- появиться
- Приложения
- Программы
- МЫ
- около
- AS
- внешний вид
- оценивается
- At
- ATS
- попытка
- Август
- Аутентификация
- Автоматический
- автоматически
- назад
- Банка
- Банк Америки
- Банковское дело
- банковское вредоносное ПО
- Банки
- аккумулятор
- Срок службы батареи
- BE
- , так как:
- было
- за
- не являетесь
- принадлежащий
- binance
- Bitcoin
- браузер
- но
- by
- под названием
- Кампания
- Кампании
- Канада
- возможности
- Захват
- случаев
- определенный
- погоня
- Chrome
- браузер Chrome
- Citi
- Граждане
- очиститель
- беспорядок
- coinbase
- Компания
- сравненный
- Ослабленный
- связи
- содержащегося
- содержит
- контроль
- контроль
- создали
- Полномочия
- перекрестье
- крипто-
- крипто кошельки
- Клиенты
- киберпреступники
- Информационная безопасность
- опасно
- застройщиков
- развивающийся
- Развитие
- устройство
- Устройства
- обнаружить
- Принять
- отображается
- распределительный
- распределение
- do
- дюжина
- Ранее
- позволяет
- Двигатель
- Окружающая среда
- особенно
- Эфир (ETH)
- Европе
- Европейская кухня
- выполнять
- чрезвычайно
- семья
- БЫСТРО
- Особенности
- Показывая
- февраль
- финансовый
- Финансовые институты
- Во-первых,
- гибкого
- Что касается
- найденный
- Рамки
- от
- Функции
- средства
- Отдаете
- Гугл игры
- Google Play Маркет
- предоставлять
- Рост
- было
- Сбор урожая
- Есть
- высший
- Выделите
- исторически
- держать
- HTTPS
- идея
- in
- включают
- включены
- В том числе
- все больше и больше
- информация
- начальный
- вместо
- учреждения
- интерес
- заинтересованный
- в
- iOS
- IT
- ЕГО
- саму трезвость
- JPG
- всего
- большой
- последний
- законный
- ЖИЗНЬЮ
- такое как
- Вероятно
- Список
- журнал
- Войти
- поддерживает
- основной
- сделать
- вредоносных программ
- Malwarebytes
- ПРОИЗВОДИТЕЛЬ
- многих
- рынок
- доля рынка
- механизм
- Сообщения
- ошибки
- Мобильный телефон
- Мобильное приложение
- режим
- Модули
- момент
- месяцев
- БОЛЕЕ
- самых
- с разными
- природа
- почти
- потребности
- Новые
- примечательный
- сейчас
- номер
- of
- on
- ONE
- те,
- онлайн
- Операторы
- Оптимизировать
- or
- Другое
- за
- страница
- страниц
- пароли
- процент
- Разрешения
- фишинг
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Играть
- Play Маркет
- потенциально
- мощностью
- мощный
- представить
- предотвращать
- предыдущий
- первичный
- привилегии
- Четверть
- последний
- недавно
- районы
- выпустил
- оставаться
- удаленные
- удаленный доступ
- удаление
- отчету
- Сообщается
- исследователи
- год
- Run
- s
- Сказал
- то же
- Samsung
- безопасность
- послать
- набор
- настройки
- Поделиться
- показал
- Достопримечательности
- существенно
- с
- Сайтов
- спать
- скольжение
- SMS
- So
- некоторые
- сложный
- искать
- Испания
- конкретный
- обнаружение
- Области
- Статус:
- По-прежнему
- Stop
- диск
- магазин
- такие
- Поддержанный
- поддержки
- включается
- система
- системы
- взять
- цель
- целевое
- направлены
- направлена против
- чем
- который
- Ассоциация
- их
- Их
- Эти
- этой
- На этой неделе
- В этом году
- те
- тысячи
- угроза
- актеры угрозы
- угрозы
- время
- в
- вместе
- Лексемы
- топ
- перевод
- Передающий
- троянец
- надежных
- два
- двухфакторная аутентификация
- под
- Объединенный
- США
- нежелательный
- Обновление ПО
- us
- Информация о пользователе
- пользователей
- коммунальные услуги
- разнообразие
- продавец
- разносторонний
- версия
- версии
- очень
- с помощью
- Уязвимости
- Кошельки
- законопроект
- Путь..
- Web
- веб-сайты
- неделя
- ЧТО Ж
- были
- когда
- который
- КТО
- записывать
- Xiaomi
- год
- зефирнет