Una nueva variante del troyano bancario de Android llamado Xenomorph ha aparecido en estado salvaje, según revelan los últimos hallazgos de ThreatFabric.
Llamado «Xenomorfo 3ra generaciónpor Hadoken Security Group, el actor de amenazas detrás de la operación, la versión actualizada viene con nuevas características que le permiten realizar fraudes financieros de manera transparente.
«Esta nueva versión del malware agrega muchas capacidades nuevas a un banco de Android ya rico en funciones, sobre todo la introducción de un motor de tiempo de ejecución muy extenso impulsado por los servicios de accesibilidad, que los actores utilizan para implementar un marco ATS completo», dijo el holandés. firma de seguridad dicho en un informe compartido con The Hacker News.
Xenomorph salió a la luz por primera vez hace un año, en febrero de 2022, cuando se descubrió que apuntaba a 56 bancos europeos a través de aplicaciones cuentagotas publicadas en Google Play Store.
Por el contrario, la última versión del banco, que tiene un sitio web dedicado que anuncia sus características, está diseñada para apuntar a más de 400 instituciones bancarias y financieras, incluidas varias billeteras de criptomonedas.
ThreatFabric dijo que detectó muestras distribuidas a través de la Red de entrega de contenido (CDN) de Discord, una técnica que ha fue testigo de un aumento desde 2020. Dos de las aplicaciones vinculadas a Xenomorph se enumeran a continuación:
- Play Protect (com.great.calm)
- Play Protect (meritoriousness.mollah.presser)
«Xenomorph v3 se implementa mediante una aplicación Zombinder ‘vinculada’ a un convertidor de moneda legítimo, que descarga como una ‘actualización’ una aplicación que se hace pasar por Google Protect», explicó ThreatFabric.
Zombinder se refiere a un servicio de vinculación de APK anunciado en la web oscura desde marzo de 2022, en el que el malware se entrega a través de versiones troyanizadas de aplicaciones legítimas. Desde entonces, la oferta se ha cerrado.
Los objetivos de la última campaña van más allá de su enfoque europeo (es decir, España, Italia y Portugal) para incluir entidades financieras belgas y canadienses.
Descubra los peligros ocultos de las aplicaciones SaaS de terceros
¿Conoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? Únase a nuestro seminario web para conocer los tipos de permisos que se otorgan y cómo minimizar el riesgo.
Se sabe que Xenomorph, al igual que el malware bancario, abusa de los servicios de accesibilidad para realizar fraudes mediante ataques superpuestos. También incluye capacidades para completar automáticamente transacciones fraudulentas en dispositivos infectados, una técnica llamada Sistema de Transferencia Automatizado (ATS).
Dado que los bancos están pasando de los SMS para la autenticación de dos factores (2FA) a las aplicaciones de autenticación, el troyano Xenomorph incorpora un módulo ATS que le permite iniciar la aplicación y extraer los códigos de autenticación.
El malware de Android se jacta además de las funciones de robo de cookies, lo que permite a los actores de amenazas realizar ataques de apropiación de cuentas.
«Con estas nuevas funciones, Xenomorph ahora puede automatizar por completo toda la cadena de fraude, desde la infección hasta la exfiltración de fondos, lo que lo convierte en uno de los troyanos de Android Malware más avanzados y peligrosos en circulación», dijo la compañía.