Una recente scoperta da parte di esperti di sicurezza ha rivelato l'esistenza di un malware che prende di mira specificamente gli utenti Android negli Stati Uniti, Canada, Italia, Portogallo, Spagna e Belgio.
Noto come Xenomorph, gli autori di questo avanzatissimo trojan bancario per Android concentrano i loro sforzi da più di un anno contro gli utenti europei. Tuttavia, hanno recentemente ampliato le loro operazioni per includere i consumatori di oltre 25 istituti finanziari americani.
Lo Xenomorfo è tornato e questa iterazione è ancora più letale che mai. Ora il pericolo è diventato più serio e, secondo gli analisti, si è diffuso a più di 100 app finanziarie e di criptovaluta.
Tattiche di phishing e distribuzione di malware
L'attuale campagna Xenomorph è iniziata a metà agosto, secondo gli analisti della società di sicurezza informatica ThreatFabric, che monitora l'attività del malware da febbraio 2022.
L'ultima campagna degli autori del malware prevede URL di phishing che incoraggiano gli utenti ad aggiornare i propri browser Chrome e a scaricare il pericoloso APK. Il malware utilizza ancora tecniche di overlay per raccogliere dati, ma ora sta attaccando le banche statunitensi e una varietà di app di criptovaluta.
Gli analisti di ThreatFabric hanno ottenuto l'accesso all'infrastruttura di hosting del payload dell'operatore del malware sfruttando le procedure di sicurezza poco rigorose dell'operatore.
Tra gli altri payload dannosi trovati lì c'erano il Private Loader del malware, i ladri di informazioni Windows RisePro e LummaC2 e le versioni del malware Android Medusa e Cabassous.
Una caratteristica degna di nota dell'ultima iterazione di Xenomorph riguarda la sua struttura avanzata e adattabile del sistema di movimento automatico (ATS), che facilita il movimento automatizzato di denaro da un dispositivo compromesso a uno controllato da un aggressore.
Xenomorfo insegue Banks
Il motore ATS del malware Xenomorph dispone di diversi moduli che consentono agli autori delle minacce di ottenere il controllo sui dispositivi compromessi e di svolgere una serie di attività dannose.
Il malware prende di mira i consumatori Chase, Amex, Ally, Citi Mobile, Citizens Bank, Bank of America e Discover Mobile. I ricercatori di ThreatFabric hanno trovato nuovi campioni di trojan che prendono di mira Bitcoin, Binance e Coinbase.
All’inizio del 2022, il virus bancario Xenomorph ha preso di mira 56 banche europee che utilizzavano il phishing in overlay dello schermo. Google Play lo ha distribuito a oltre 50.000 utenti.
Sicurezza Hadoken: i cervelli del malware
L’azienda dietro di esso, “Hadoken Security”, ha migliorato il virus e ha rilasciato una versione modulare e flessibile nel giugno 2022. Xenomorph era uno dei 10 principali trojan bancari e a quel tempo una “grande minaccia” per Zimperium.
A seconda del gruppo demografico, ogni campione di Xenomorfo ha circa un centinaio di overlay destinati a varie banche e app di criptovaluta.
Nel frattempo, gli utenti dovrebbero prestare attenzione quando vengono invitati ad aggiornare i propri browser mobili, poiché queste richieste sono spesso spyware nascosti.
Immagine in primo piano da Bleeping Computer