Google a supprimé deux nouvelles applications de compte-gouttes malveillantes qui ont été détectées sur le Play Store pour Android, dont l’une se présentait comme une application de style de vie et a été surprise en train de distribuer le malware bancaire Xenomorph.
“Xenomorph est un cheval de Troie qui vole les informations d’identification des applications bancaires sur les appareils des utilisateurs”, ont déclaré les chercheurs de Zscaler ThreatLabz, Himanshu Sharma et Viral Gandhi. a dit dans une analyse publiée jeudi.
“Il est également capable d’intercepter les messages SMS et les notifications des utilisateurs, ce qui lui permet de voler des mots de passe à usage unique et des demandes d’authentification multi-facteurs.”
La société de cybersécurité a déclaré avoir également trouvé une application de suivi des dépenses qui présentait un comportement similaire, mais a noté qu’elle ne pouvait pas extraire l’URL utilisée pour récupérer l’artefact du logiciel malveillant.
Les deux applications malveillantes sont les suivantes –
- À faire : Gestionnaire de jour (com.todo.daymanager)
- 経費キーパー (com.setprice.expenses)
Les deux applications fonctionnent comme un compte-gouttes, ce qui signifie que les applications elles-mêmes sont inoffensives et sont un conduit pour récupérer la charge utile réelle, qui, dans le cas de Todo, est hébergée sur GitHub.
Xenomorph, documenté pour la première fois par ThreatFabric au début de février, est connu pour abuser des autorisations d’accessibilité d’Android pour mener des attaques par superposition, dans lesquelles de faux écrans de connexion sont présentés au-dessus d’applications bancaires légitimes pour voler les informations d’identification de la victime.
De plus, le logiciel malveillant exploite la description d’un canal Telegram pour décoder et construire le domaine de commande et de contrôle (C2) utilisé pour recevoir des commandes supplémentaires.
Le développement fait suite à la découverte de quatre applications malveillantes sur Google Play qui ont dirigé les victimes vers des sites Web malveillants dans le cadre d’une campagne de logiciels publicitaires et de vol d’informations. Google a déclaré à The Hacker News qu’il avait depuis interdit le développeur.