0
0
Este é um problema perigoso e que precisa de atenção máxima dos usuários.
O malware Xenomorph Android lançou uma nova versão que adiciona recursos significativos para conduzir ataques maliciosos, incluindo uma nova estrutura de sistema de transferência automatizada (ATS) e a capacidade de roubar credenciais para 400 bancos.
O Xenomorph foi descoberto pela primeira vez pela ThreatFabric em fevereiro de 2022, que descobriu a primeira versão do trojan bancário na loja Google Play, onde acumulou mais de 50.000 downloads.
Essa primeira versão visava 56 bancos europeus que usavam injeções para ataques de sobreposição e abusaram das permissões dos Serviços de Acessibilidade para realizar a interceptação de notificações para roubar códigos únicos.
O desenvolvimento do malware continuou ao longo de 2022 por seus autores, “Hadoken Security”, mas suas versões mais recentes nunca foram distribuídas em grandes volumes.
Em vez disso, o Xenomorph v2, que foi lançado em junho de 2022, teve apenas rajadas curtas de atividade de teste na natureza. No entanto, a segunda versão foi notável por sua revisão completa do código, o que a tornou mais modular e flexível.
Xenomorph v3 é muito mais capaz e maduro do que as versões anteriores, capaz de roubar automaticamente dados, incluindo credenciais, saldos de contas, realizar transações bancárias e finalizar transferências de fundos.
Malware Xenomorph Android rouba dados de 400 bancos
“Com esses novos recursos, o Xenomorph agora é capaz de automatizar toda a cadeia de fraudes, desde a infecção até a exfiltração de fundos, tornando-o um dos trojans Android Malware mais avançados e perigosos em circulação”, adverte o ThreatFabric.
A ThreatFabric relata que é provável que a Hadoken planeje vender o Xenomorph para operadoras por meio de uma plataforma MaaS (malware como serviço), e o lançamento de um site promovendo a nova versão do malware fortalece essa hipótese.
Atualmente, o Xenomorph v3 está sendo distribuído através da plataforma ‘Zombinder’ na Google Play Store, posando como um conversor de moeda e mudando para o uso de um ícone do Play Protect após a instalação da carga maliciosa.
Novos alvos Xenomorfos
A versão mais recente do Xenomorph tem como alvo 400 instituições financeiras, principalmente dos Estados Unidos, Espanha, Turquia, Polônia, Austrália, Canadá, Itália, Portugal, França, Alemanha, Emirados Árabes Unidos e Índia.
Alguns exemplos de instituições alvo incluem Chase, Citibank, American Express, ING, HSBC, Deutsche Bank, Wells Fargo, Amex, Citi, BNP, UniCredit, Banco Nacional do Canadá, BBVA, Santander e Caixa.
A lista é muito extensa para incluir aqui, mas o ThreatFabric listou todos os bancos visados no apêndice de seu relatório.
Além disso, o malware tem como alvo 13 carteiras de criptomoedas, incluindo Binance, BitPay, KuCoin, Gemini e Coinbase.
Bypass automático de MFA
O recurso mais notável introduzido na nova versão do Xenomorph é a estrutura ATS, que permite que os cibercriminosos extraiam credenciais automaticamente, verifiquem saldos de contas, realizem transações e roubem dinheiro de aplicativos de destino sem executar ações remotas.
Em vez disso, o operador simplesmente envia scripts JSON que o Xenomorph converte em uma lista de operações e os executa de forma autônoma no dispositivo infectado.
“O mecanismo [de execução ATS] usado pelo Xenomorph se destaca de sua concorrência graças à extensa seleção de possíveis ações que são programáveis e podem ser incluídas em scripts ATS, além de um sistema que permite a execução condicional e a priorização de ações”, explica os pesquisadores do ThreatFabrics.
Um dos recursos mais impressionantes da estrutura ATS do malware é sua capacidade de registrar o conteúdo de aplicativos de autenticação de terceiros, superando as proteções MFA (autenticação multifator) que, de outra forma, bloqueariam transações automatizadas.
Extraindo códigos do Google Authenticator
Os bancos estão gradualmente abandonando o SMS MFA e, em vez disso, sugerem que os clientes usem aplicativos autenticadores, portanto, ver a capacidade do Xenomorph de acessar esses aplicativos no mesmo dispositivo é perturbador.
Ladrão de cookies
Além do acima, o novo Xenomorph possui um ladrão de cookies que pode roubar cookies do Android CookieManager, que armazena os cookies de sessão do usuário.
O ladrão inicia uma janela do navegador com a URL de um serviço legítimo com a interface JavaScript ativada, enganando a vítima para inserir seus detalhes de login.
Os agentes de ameaças roubam o cookie, o que torna possível sequestrar as sessões da web da vítima e assumir suas contas.
Um malware Android para se preocupar
O Xenomorph foi um novo malware notável que entrou no espaço do cibercrime há um ano.
Agora, com o lançamento de sua terceira versão principal, é uma ameaça muito maior para os usuários do Android em todo o mundo.
Considerando seu canal de distribuição atual, o Zombinder, os usuários devem ser cautelosos com os aplicativos que instalam do Google Play, ler avaliações e executar verificações de antecedentes no editor.
Geralmente, é aconselhável manter o número de aplicativos em execução no seu telefone ao mínimo possível e instalar apenas aplicativos de fornecedores conhecidos e confiáveis.
FONTE: SEMPRE UPDATE