Istraživači kompanije ThreatFabric, koja se bavi spriječavanjem prevara i sajber kriminala, analizirajući Xenomorph malver pronašli su kod koji je sličan bankovnom trojancu Alien
Novi zlonamjerni softver pod nazivom Xenomorph koji se distribuira putem Google Play Store-a zarazio je više od 50.000 Android uređaja kako bi ukrao bankovne podatke korisnika.
Još uvijek u ranoj fazi razvoja, Xenomorph cilja na korisnike desetine finansijskih institucija u Španiji, Portugaliji, Italiji i Belgiji.
Istraživači kompanije ThreatFabric, koja se bavi spriječavanjem prevara i sajber kriminala, analizirajući Xenomorph pronašli su kod koji je sličan bankovnom trojancu Alien. To sugeriše da su dvije prijetnje na neki način povezane: ili je Xenomorph Alienov nasljednik ili je riječ o istom programeru.
Bankarski trojanci poput Xenomorph-a kradu osjetljive financijske podatke, preuzimaju račune ili obavljaju neovlašćene transakcije, nakon čega sajber kriminalci prodaju ukradene podatke zainteresiranim kupcima.
Uvukao se u Play Store
Xenomorph je ušao u trgovinu Google Play putem generičkih aplikacija za povećanje performansi poput Fast Cleanera, koji broji 50.000 preuzimanja.
Takvi su uslužni programi klasični mamac koji koriste bankarski trojanci, uključujući i Aliena, jer uvijek postoji interes za alate koji obećavaju poboljšanje performansi Android uređaja.
Kako bi izbjegao odbijanje tokom pregleda aplikacije od strane Play Storea, Fast Cleaner dohvata zlonamjerni kod tek nakon instalacije, tako da je aplikacija čista u trenutku slanja na Play Sotre.
ThreatFabric je prepoznao aplikaciju kao člana porodice zlonamjernih aplikacija “Gymdrop”, koje su prvi put otkrivene u novembru 2021. i koje su od tad pod budnim okom stručnjaka za bezbjednost računara.
Ksenomorfne sposobnosti
Funkcionalnost Xenomorph-a u ovom trenutku nije puna, jer je trojanac u intenzivnom razvoju. Međutim, još uvijek predstavlja značajnu prijetnju, jer može ispuniti svoju svrhu krađe informacija i cilja na čak 56 različitih evropskih banaka.
Na primjer, zlonamjerni softver može presresti obavještenja, zabilježiti SMS-ove i prikazivati lažne prozore za prijavu u sistem, tako da već može oteti akreditive i jednokratne lozinke koje se koriste za zaštitu bankovnih računa.
Nakon instalacije, prva radnja koju Xenomorph preduzima jeste povratno slanje popisa instaliranih paketa na zaraženom uređaju. Potom traži pristup različitim informacijama na uređaju, ne bi li zatim zloupotrebio privilegije i omogućio sebi dodatni pristup dijelovima kojima inače ne bi imao pristup.
Njegov mehanizam pristupačnosti vrlo je detaljan i dizajniran je s modularnim pristupom na umu. Sadrži module za svaku specifičnu radnju koju zahtjeva bot i može se jednostavno proširiti kako bi podržao više funkcionalnosti, piše u izvještaju ThreatFabric-e.
Sve u svemu, Xenomorph može da doda mogućnosti sljedećeg nivoa u bilo kojem trenutku, budući da su potrebne samo manje implementacije i modifikacije koda za aktiviranje opsežnih funkcija izvlačenja podataka.
ThreatFabric ocjenjuje da Xenomorph trenutno nije jaka prijetnja zbog statusa “u razvoju”. Međutim, vremenom bi mogao dostići svoj puni potencijal, u poređenju s drugim modernim Android bankovnim trojancima.
Kako bi se izbjeglo Xenomorph ili bilo koji drugi zlonamjeran softver za Android koji vreba u Play Store-u, korisnicima se savjetuje da izbjegavaju instaliranje aplikacija koje obećavaju nerealne mogućnosti uređaja. Isto tako, provjera recenzija drugih korisnika ponekad može da pomogne u izbjegavanju zlonamjernih aplikacija.
Dopadaju vam se tekstovi na IT-mixer.com? Podržite nas putem društvenih mreža na linkovima ispod. Lajkujte našu stranicu na Facebooku, budite informisani u svakom momentu.
