Phần mềm độc hại Xenomorph Android đã phát hành phiên bản mới bổ sung các khả năng quan trọng để thực hiện các cuộc tấn công độc hại, bao gồm khung hệ thống chuyển giao tự động (ATS) mới và khả năng đánh cắp thông tin đăng nhập của 400 ngân hàng.
Xenomorph lần đầu tiên được phát hiện bởi ThreatFabric vào tháng 2 năm 2022, phiên bản này đã phát hiện ra phiên bản đầu tiên của trojan ngân hàng trên cửa hàng Google Play, nơi nó đã thu được hơn 50.000 lượt tải xuống.
Phiên bản đầu tiên đó nhắm mục tiêu vào 56 ngân hàng châu Âu bằng cách tiêm cho các cuộc tấn công lớp phủ và lạm dụng quyền của Dịch vụ trợ năng để thực hiện chặn thông báo nhằm đánh cắp mã một lần.
Tác giả của nó, “Hadoken Security” tiếp tục phát triển phần mềm độc hại này trong suốt năm 2022, nhưng các bản phát hành mới hơn của nó không bao giờ được phân phối với số lượng lớn.
Thay vào đó, Xenomorph v2, được phát hành vào tháng 6 năm 2022, chỉ có một đợt hoạt động thử nghiệm ngắn trong tự nhiên. Tuy nhiên, phiên bản thứ hai đáng chú ý vì đã đại tu mã hoàn chỉnh, khiến nó trở nên mô đun và linh hoạt hơn.
Xenomorph v3 có khả năng và hoàn thiện hơn nhiều so với các phiên bản trước, có thể tự động đánh cắp dữ liệu, bao gồm thông tin đăng nhập, số dư tài khoản, thực hiện các giao dịch ngân hàng và hoàn tất chuyển tiền.
ThreatFabric cảnh báo: “Với những tính năng mới này, Xenomorph hiện có thể hoàn thành tự động hóa toàn bộ chuỗi gian lận, từ lây nhiễm đến rút tiền, khiến nó trở thành một trong những trojan Phần mềm độc hại Android tiên tiến và nguy hiểm nhất đang lưu hành”.
ThreatFabric báo cáo rằng có khả năng Hadoken có kế hoạch bán Xenomorph cho các nhà khai thác thông qua nền tảng MaaS (phần mềm độc hại dưới dạng dịch vụ) và việc ra mắt trang web quảng cáo phiên bản mới của phần mềm độc hại củng cố giả thuyết này.
Trang web quảng cáo Xenomorph v3
Hiện tại, Xenomorph v3 đang được phân phối thông qua nền tảng 'Zombinder' trên cửa hàng Google Play, đóng vai trò là công cụ chuyển đổi tiền tệ và chuyển sang sử dụng biểu tượng Play Protect sau khi cài đặt tải trọng độc hại.
Phiên bản mới nhất của Xenomorph nhắm tới 400 tổ chức tài chính, chủ yếu từ Hoa Kỳ, Tây Ban Nha, Thổ Nhĩ Kỳ, Ba Lan, Úc, Canada, Ý, Bồ Đào Nha, Pháp, Đức, Các Tiểu vương quốc Ả Rập Thống nhất và Ấn Độ.
Quốc gia của các ngân hàng mục tiêu
Một số ví dụ về các tổ chức được nhắm mục tiêu bao gồm Chase, Citibank, American Express, ING, HSBC, Deutsche Bank, Wells Fargo, Amex, Citi, BNP, UniCredit, Ngân hàng Quốc gia Canada, BBVA, Santander và Caixa.
Danh sách này quá rộng để đưa vào đây, nhưng ThreatFabric đã liệt kê tất cả các ngân hàng mục tiêu trong phần phụ lục của báo cáo.
Hơn nữa, phần mềm độc hại nhắm mục tiêu 13 ví tiền điện tử, bao gồm Binance, BitPay, KuCoin, Gemini và Coinbase.
Tính năng đáng chú ý nhất được giới thiệu trong phiên bản Xenomorph mới là khung ATS, cho phép tội phạm mạng tự động trích xuất thông tin xác thực, kiểm tra số dư tài khoản, thực hiện giao dịch và đánh cắp tiền từ các ứng dụng mục tiêu mà không cần thực hiện các hành động từ xa.
Thay vào đó, người điều khiển chỉ cần gửi các tập lệnh JSON mà Xenomorph chuyển đổi thành một danh sách các hoạt động và thực thi chúng một cách tự động trên thiết bị bị nhiễm.
"Công cụ [thực thi ATS] được Xenomorph sử dụng nổi bật so với đối thủ cạnh tranh nhờ có nhiều lựa chọn hành động có thể lập trình được và có thể được đưa vào tập lệnh ATS, bên cạnh hệ thống cho phép thực thi có điều kiện và ưu tiên hành động," giải thích Các nhà nghiên cứu ThreatFabrics.
Một trong những khả năng ấn tượng nhất của khung ATS của phần mềm độc hại là khả năng ghi nhật ký nội dung của các ứng dụng xác thực của bên thứ ba, đánh bại các biện pháp bảo vệ MFA (xác thực đa yếu tố) có thể chặn các giao dịch tự động.
Trích xuất mã một lần từ Google Authenticator
Các ngân hàng đang dần từ bỏ SMS MFA và thay vào đó đề nghị khách hàng sử dụng các ứng dụng xác thực, vì vậy khả năng Xenomorph truy cập các ứng dụng này trên cùng một thiết bị là điều đáng lo ngại.
Ngoài tính năng trên, Xenomorph mới còn có tính năng đánh cắp cookie có thể lấy cookie từ Android CookieManager, nơi lưu trữ cookie phiên của người dùng.
Kẻ đánh cắp khởi chạy một cửa sổ trình duyệt có URL của một dịch vụ hợp pháp với giao diện JavaScript được bật, lừa nạn nhân nhập chi tiết đăng nhập của họ.
Các tác nhân đe dọa đánh cắp cookie, điều này có thể chiếm quyền điều khiển các phiên web của nạn nhân và chiếm đoạt tài khoản của họ.
Quy trình đánh cắp cookie
Xenomorph là một phần mềm độc hại mới đáng chú ý xâm nhập vào không gian tội phạm mạng một năm trước.
Giờ đây, với việc phát hành phiên bản chính thứ ba, nó là mối đe dọa lớn hơn nhiều đối với người dùng Android trên toàn thế giới.
Xem xét kênh phân phối hiện tại của nó, Zombinder, người dùng nên thận trọng với các ứng dụng họ cài đặt từ Google Play, đọc các bài đánh giá và chạy kiểm tra lý lịch đối với nhà xuất bản.
Nói chung, nên giữ số lượng ứng dụng chạy trên điện thoại của bạn ở mức tối thiểu có thể và chỉ cài đặt ứng dụng từ các nhà cung cấp đã biết và đáng tin cậy.
Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.