50.000’den fazla kuruluma sahip yeni bir Android bankacılık trojanının, 56 Avrupa bankasını hedeflemek ve güvenliği ihlal edilmiş cihazlardan hassas bilgileri toplamak amacıyla resmi Google Play Store üzerinden dağıtıldığı gözlemlendi.
dublajlı zenomorf Hollandalı güvenlik firması ThreatFabric tarafından geliştirilmekte olan kötü amaçlı yazılımın, Alien takma adıyla izlenen başka bir bankacılık truva atıyla örtüştüğü ve aynı zamanda sunulan işlevler açısından öncekinden “radikal olarak farklı” olduğu söyleniyor.
ThreatFabric’in kurucusu ve CEO’su Han Şahin, “Devam eden bir çalışma olmasına rağmen, Xenomorph zaten etkili bindirmeler kullanıyor ve resmi uygulama mağazalarında aktif olarak dağıtılıyor.” Dedi. “Ayrıca, gelecekte ATS gibi çok gelişmiş yetenekleri güçlendirebilecek erişilebilirlik hizmetlerini kötüye kullanmak için çok ayrıntılı ve modüler bir motora sahiptir.”
Alien, bildirim koklama ve kimlik doğrulayıcı tabanlı 2FA hırsızlık özelliklerine sahip bir uzaktan erişim truva atı (RAT), kısa sürede ortaya çıktı ünlünün ölümünden sonra Cerberus O zamandan beri, Eylül 2021’de ERMAC dahil olmak üzere Cerberus’un diğer çatalları vahşi doğada tespit edildi.
Alien ve ERMAC gibi Xenomorph, habersiz kurbanları kötü amaçlı yazılımı yüklemeleri için kandırmak için “Hızlı Temizleyici” gibi üretkenlik uygulamaları gibi davranarak Google Play Store’un güvenlik korumalarını atlatmaya odaklanan bir başka Android bankacılık truva atı örneğidir.
JimDrop olarak adlandırılan 10.000’den fazla kuruluma sahip bir fitness eğitimi dropper uygulamasının, Kasım ayında Alien bankacılık truva atı yükünü “yeni bir egzersiz egzersizleri paketi” olarak maskeleyerek sunduğu tespit edildi.
“vizeeva.fast.cleaner” paket adına sahip olan ve uygulama mağazasında bulunmaya devam eden Fast Cleaner, en çok Portekiz ve İspanya’da popüler oldu, mobil uygulama pazarı istihbarat firması Sensor Tower’ın verilerine göre ortaya çıkarıruygulama Play Store’da ilk görünümünü Ocak 2022’nin sonuna doğru yapıyor.
Dahası, kullanıcılardan gelen uygulama incelemeleri, “bu uygulamanın kötü amaçlı yazılım içerdiği” ve “sorduğu” konusunda uyardı.[s] Bir güncellemenin sürekli olarak onaylanması için.” Başka bir kullanıcı, “Cihaza kötü amaçlı yazılım yüklüyor ve bunun dışında bir kendini koruma sistemine sahip, böylece onu kaldıramazsınız.” Dedi.
Ayrıca, Xenomorph tarafından kullanılan, zaman içinde test edilmiş bir taktiği, kurbanlardan Erişilebilirlik Hizmeti ayrıcalıkları vermelerini ve yer paylaşımlı saldırılar gerçekleştirmek için izinleri kötüye kullanmalarını istemek, burada kötü amaçlı yazılımın İspanya, Portekiz, İtalya ve Belçika’dan hedeflenen uygulamaların üzerine hileli bindirme ekranları enjekte etmesi. kimlik bilgilerini ve diğer kişisel bilgileri sifonlamak için.
Ek olarak, SMS yoluyla alınan iki faktörlü kimlik doğrulama belirteçlerini çıkarmak ve sonuçları uzak bir komuta ve kontrol sunucusuna aktarılan yüklü uygulamaların listesini almak için bir bildirim durdurma özelliği ile donatılmıştır.
Araştırmacılar, “Xenomorph’un ortaya çıkması, tehdit aktörlerinin dikkatlerini resmi pazarlara çıkarma uygulamalarına odakladığını bir kez daha gösteriyor” dedi. “Modern Bankacılık kötü amaçlı yazılımı çok hızlı bir şekilde gelişiyor ve suçlular gelecekteki güncellemeleri desteklemek için daha rafine geliştirme uygulamalarını benimsemeye başlıyor.”
