ThreatFabric’in son bulgularına göre, Xenomorph adlı Android bankacılık truva atının yeni bir türü ortaya çıktı.
adlı”Xenomorph 3. nesil” Operasyonun arkasındaki tehdit aktörü Hadoken Security Group tarafından hazırlanan güncellenmiş sürüm, mali dolandırıcılığı sorunsuz bir şekilde gerçekleştirmesine olanak tanıyan yeni özelliklerle birlikte geliyor.
Hollandalı, “Kötü amaçlı yazılımın bu yeni sürümü, zaten zengin özelliklere sahip bir Android bankacıya birçok yeni yetenek ekliyor; en önemlisi, aktörler tarafından eksiksiz bir ATS çerçevesini uygulamak için kullanılan Erişilebilirlik hizmetleri tarafından desteklenen çok kapsamlı bir çalışma zamanı motorunun tanıtımı.” güvenlik firması söz konusu The Hacker News ile paylaşılan bir raporda.
Xenomorph ilk olarak bir yıl önce Şubat 2022’de Google Play Store’da yayınlanan dropper uygulamaları aracılığıyla 56 Avrupa bankasını hedef aldığı tespit edildiğinde gün yüzüne çıktı.
Buna karşılık, özelliklerinin reklamını yapan özel bir web sitesine sahip olan bankacının en son yinelemesi, birkaç kripto para birimi cüzdanı da dahil olmak üzere 400’den fazla bankacılık ve finans kurumunu hedeflemek üzere tasarlandı.
ThreatFabric, Discord’un İçerik Dağıtım Ağı (CDN) aracılığıyla dağıtılan kötü amaçlı yazılım örneklerini tespit ettiğini söyledi. bir dalgalanmaya tanık oldu 2020’den beri. Xenomorph bağlantılı uygulamalardan ikisi aşağıda listelenmiştir –
- Play Protect (com.great.calm)
- Play Protect (meziyet.mollah.presser)
ThreatFabric, “Xenomorph v3, yasal bir para birimi dönüştürücüye ‘bağlı’ bir Zombinder uygulaması tarafından konuşlandırılır ve bu uygulama, Google Protect gibi görünen bir uygulamayı ‘güncelleme’ olarak indirir,” dedi.
Zombinder, siber suçluların yasal uygulamaların truva atı haline getirilmiş sürümleri aracılığıyla kötü amaçlı yazılım dağıtmasına olanak tanıyan, karanlık ağda reklamı yapılan bir APK bağlama hizmeti anlamına gelir. Teklif o zamandan beri kapatıldı.
En son kampanyanın hedefleri, Avrupa odağının (yani İspanya, İtalya ve Portekiz) ötesine geçerek Belçika ve Kanada finansal kuruluşlarını da içeriyor.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
Diğer bankacılık kötü amaçlı yazılımları gibi Xenomorph’un da yer paylaşımlı saldırılar yoluyla dolandırıcılık gerçekleştirmek için Erişilebilirlik Hizmetlerini kötüye kullandığı bilinmektedir. Ayrıca, Otomatik Aktarım Sistemi (ATS) adı verilen bir teknikle, virüslü cihazlarda hileli işlemleri otomatik olarak tamamlama yetenekleri de içerir.
Bankaların iki faktörlü kimlik doğrulama (2FA) için SMS’ten kimlik doğrulayıcı uygulamalara geçmesiyle birlikte, Xenomorph truva atı, uygulamayı başlatmasına ve kimlik doğrulayıcı kodlarını çıkarmasına izin veren bir ATS modülü içerir.
Android kötü amaçlı yazılımı ayrıca çerez çalma işlevlerine sahiptir ve tehdit aktörlerinin hesap ele geçirme saldırıları gerçekleştirmesine olanak tanır.
Şirket, “Bu yeni özelliklerle, Xenomorph artık enfeksiyondan fon hırsızlığına kadar tüm dolandırıcılık zincirini tamamen otomatik hale getirebiliyor ve bu da onu dolaşımdaki en gelişmiş ve tehlikeli Android Kötü Amaçlı Yazılım truva atlarından biri haline getiriyor” dedi.
