Een recente ontdekking door beveiligingsexperts heeft het bestaan aan het licht gebracht van malware die zich specifiek richt op Android-gebruikers in de VS, Canada, Italië, Portugal, Spanje en België.
Bekend als Xenomorph, richten de daders achter deze zeer geavanceerde trojan voor Android-bankieren hun inspanningen al meer dan een jaar consequent op Europese gebruikers. Recentelijk hebben ze hun activiteiten echter uitgebreid naar consumenten van meer dan 25 Amerikaanse financiële instellingen.
De Xenomorph is teruggekeerd en deze iteratie is zelfs dodelijker dan ooit. Het is nu een ernstiger gevaar en heeft zich volgens analisten verspreid naar meer dan 100 financiële en cryptocurrency-apps.
Phishing-tactieken en distributie van malware
De huidige Xenomorph-campagne begon medio augustus, volgens analisten van cyberbeveiligingsbedrijf ThreatFabric, die de activiteit van de malware sinds februari 2022 in de gaten houden.
De nieuwste campagne van de malware-auteurs omvat phishing-URL's die gebruikers aanmoedigen hun Chrome-browser bij te werken en de gevaarlijke APK te downloaden. De malware gebruikt nog steeds overlay-technieken om gegevens te verzamelen, maar gaat nu achter Amerikaanse banken en een verscheidenheid aan cryptocurrency-apps aan.
ThreatFabric-analisten kregen toegang tot de payload-hostinginfrastructuur van de malware-operator door te profiteren van de lakse beveiligingsprocedures van de operator.
Vanaf vandaag bedroeg de marktkapitalisatie van cryptocurrencies $ 1.02 biljoen. Grafiek: TradingView.com
De Private Loader van de malware, de Windows-informatiedieven RisePro en LummaC2 en de Android-malwareversies Medusa en Cabassous behoorden tot de andere schadelijke ladingen die ze daar aantroffen.
Een opmerkelijk kenmerk van de nieuwste versie van Xenomorph heeft betrekking op de geavanceerde en aanpasbare Automatic Movement System-structuur (ATS), die de geautomatiseerde verplaatsing van contant geld van een gecompromitteerd apparaat naar een apparaat dat door een aanvaller wordt bestuurd, mogelijk maakt.
Xenomorph gaat achter banken aan
De ATS-engine van de Xenomorph-malware beschikt over verschillende modules waarmee bedreigingsactoren controle kunnen krijgen over gecompromitteerde apparaten en een reeks kwaadaardige activiteiten kunnen uitvoeren.
De malware richt zich op consumenten van Chase, Amex, Ally, Citi Mobile, Citizens Bank, Bank of America en Discover Mobile. ThreatFabric-onderzoekers hebben nieuwe trojan-voorbeelden gevonden die zich richten op Bitcoin, Binance en Coinbase.
Het Xenomorph-bankvirus richtte zich begin 56 op 2022 Europese banken die gebruik maakten van screen-overlay-phishing. Google Play leverde het aan meer dan 50,000 gebruikers.
Hadoken-beveiliging: het malwarebrein
Het bedrijf erachter, ‘Hadoken Security’, verbeterde het virus en bracht in juni 2022 een modulaire, flexibele versie uit. Xenomorph behoorde tegen die tijd tot de top 10 van banktrojans en was een ‘grote bedreiging’ voor Zimperium.
Afhankelijk van de demografische groep heeft elk Xenomorph-voorbeeld ongeveer honderd overlays die zich richten op verschillende banken en cryptocurrency-apps.
Ondertussen moeten gebruikers voorzichtig zijn wanneer ze worden aangespoord hun mobiele browser te upgraden, aangezien deze verzoeken vaak verborgen spyware zijn.
Uitgelichte afbeelding van Bleeping Computer
Bron: https://bitcoinist.com/xenomorph-malware-attacks-us-crypto-community/