Varian terbaru dari trojan perbankan Android bernama Xenomorph telah muncul ke publik, informasi terbaru ini datang dari ThreatFabric.
Dinamakan “Xenomorph 3rd generation” oleh Hadoken Security Group, pelaku ancaman di balik operasi tersebut. Versi yang terbaru hadir dengan fitur-fitur baru yang memungkinkannya melakukan penipuan keuangan dengan mulus.
“Malware versi baru ini menambahkan banyak kemampuan baru ke bankir Android yang sudah kaya fitur. Terutama pengenalan mesin runtime yang sangat ekstensif yang menggunakan layanan Aksesibilitas, yang bertujuan untuk mengimplementasikan kerangka kerja ATS lengkap.”
Xenomorph pertama kali terungkap setahun yang lalu pada Februari 2022, ketika menargetkan 56 bank Eropa melalui aplikasi dropper yang ada di Google Play Store.
Sebaliknya, iterasi terbaru bankir – yang memiliki situs web khusus yang mengiklankan fitur-fiturnya. Memiliki rancangan untuk menargetkan lebih dari 400 lembaga perbankan dan keuangan, juga termasuk beberapa dompet mata uang kripto.
ThreatFabric mengatakan telah mendeteksi sampel malware yang terdistribusi melalui Discord’s Content Delivery Network (CDN), sebuah teknik yang telah menyaksikan lonjakan sejak tahun 2020. Dua dari aplikasi yang mengandung Xenomorph tercantum di bawah ini –
- Play Protect (com.great.calm)
- Play Protect (meritoriousness.mollah.presser)
“Xenomorph v3 terlihat pada aplikasi Zombinder ‘terikat’ ke pengonversi mata uang yang sah. Yang mengunduh sebagai ‘pembaruan’ aplikasi yang menyamar sebagai Google Protect,” jelas ThreatFabric.
Zombinder mengacu pada layanan pengikatan APK yang terlihat di dark web yang memungkinkan penjahat dunia maya mengirimkan malware melalui versi trojan dari aplikasi sah.
Target kampanye terbaru melampaui fokus Eropa (yaitu, Spanyol, Italia, dan Portugal) untuk memasukkan entitas keuangan Belgia dan Kanada.
Proses varian terbaru Xenomorph
Xenomorph, seperti malware perbankan lainnya, yang menyalahgunakan Layanan Aksesibilitas untuk melakukan penipuan melalui serangan overlay. Itu juga mengemas kemampuan untuk menyelesaikan transaksi penipuan secara otomatis pada perangkat yang terinfeksi. Sebuah teknik yang bernama Automated Transfer System (ATS).
Dengan bank beralih dari SMS untuk autentikasi dua faktor (2FA) ke aplikasi autentikator. Trojan Xenomorph menggabungkan modul ATS yang memungkinkannya meluncurkan aplikasi dan mengekstrak kode autentikator.
Malware Android selanjutnya menawarkan fungsi mencuri cookie, memungkinkan pelaku ancaman untuk melakukan serangan pengambilalihan akun.
“Dengan fitur-fitur baru ini, Xenomorph (varian terbaru) sekarang dapat sepenuhnya mengotomatiskan seluruh rantai penipuan. Dari infeksi hingga eksfiltrasi dana, menjadikannya salah satu trojan Android Malware paling canggih dan berbahaya yang beredar.”