Novo malware Xenomorph para Android tem como alvo mais de 50 aplicativos bancários e financeiros

[ad_1]

Alguns malwares bancários têm como alvo dispositivos móveis e podem roubar dinheiro rapidamente de contas bancárias. Conheça o Xenomorph, um novo malware direcionado ao Android e mais de 50 aplicativos bancários e financeiros.

Imagem: iStockphoto/solarseven

Em setembro de 2020, o ThreatFabric expôs um malware móvel baseado em Android apelidado de “Alien” que tinha recursos impressionantes, como fornecer acesso remoto a invasores, controlar mensagens SMS, roubar notificações, instalar ou remover aplicativos e coletar dados sobre o telefone infectado. .

VEJO: Violação de senha: por que cultura pop e senhas não se misturam (PDF grátis) (TechRepublic)

Esse malware foi atualizado desde então e agora fornece recursos de trojan bancário para os cibercriminosos que o controlam, conforme relatado pelo ThreatFabric. O novo malware é apelidado de Xenomorph.

De alienígena a xenomorfo

Vários itens levaram os pesquisadores do ThreatFabric a acreditar que o malware Xenomorph é uma evolução do Alien.

A primeira pista é que a mesma página HTML é usada para induzir as vítimas a conceder privilégios aos Serviços de Acessibilidade, mas tem sido usada por muitas outras famílias.

Mais intrigante, os pesquisadores mencionam que “o estilo de nomenclatura de variáveis ​​usado por Xenomorph é muito reminiscente de Alien, apesar de ser potencialmente ainda mais detalhado” e que “o nome real do arquivo de Preferências compartilhado usado para armazenar a configuração de Xenomorph: o arquivo é chamado ring0.xml”.

Na verdade, ring0 é o apelido do desenvolvedor do malware Alien original (Figura A).

Figura A

Imagem: ThreatFabric. Uma postagem do apelido ring0 em um fórum de crimes cibernéticos e a referência no código.

Além disso, várias strings particulares e nomes de classes são visíveis tanto no código Alien quanto no Xenomorph (Figura B).

Figura B

Imagem: ThreatFabric. Strings de registro idênticas no código de Alien e Xenomorph.

O malware Alien tem mais recursos gerais do que o Xenomorph, que é muito mais direcionado ao roubo de informações bancárias.

Pode-se pensar que o desenvolvedor do Alien decidiu criar um malware mais específico que se concentrasse apenas em roubo financeiro.

Infecções por xenomorfos

Enquanto o Google implementa esforços para combater malware em sua Play Store, os cibercriminosos ainda encontram maneiras de ignorá-lo e distribuir seu malware dessa maneira.

Um aplicativo da Play Store, apelidado de “Fast Cleaner”, cujo objetivo descrito seria acelerar o dispositivo, possui recursos de conta-gotas: baixa, descarta e executa conteúdo malicioso (Figura C).

Figura C

Imagem: ThreatFabric. O aplicativo Fast Cleaner que baixa e instala o Xenomorph em segundo plano.

De acordo com os pesquisadores, o aplicativo Fast Cleaner baixou e instalou vários malwares diferentes no passado, as famílias de malware ExobotCompact.D e Alien.A. Mas então, começou também a baixar e instalar o Xenomorph.

Recursos de xenomorfo

O Xenomorph é capaz de implantar ataques de sobreposição, que consistem em colocar uma janela em cima de um aplicativo legítimo, para solicitar credenciais ao usuário.

O malware também tem a capacidade de interceptar notificações, lidar com SMS e, portanto, ignorar a autenticação de dois fatores do SMS.

Como um recurso comum no malware, o Xenomorph é capaz de atualizar a si mesmo ou sua referência de servidor de comando e controle.

O Trojan bancário também é desenvolvido com um modelo muito modular: é fácil adicionar novas funções a ele. Na verdade, mais funções já estão implementadas no código, mas ainda não são usadas: recursos de log extensivos podem ser usados ​​no futuro e permitir que o malware colete muito mais informações sobre o uso do dispositivo e de seu usuário.

O ataque de sobreposição

Como dito, o Xenomorph tem a capacidade de implantar ataques de sobreposição.

Para atingir o ataque de sobreposição, o código do Xenomorph contém uma lista de aplicativos bancários ou financeiros que acionarão a tela de sobreposição do malware. Essa tela solicitará ao usuário seus dados. Um usuário não cauteloso pode fornecer aos invasores suas credenciais (Figura D) ou informações de cartão de crédito.

Figura D

Imagem: ThreatFabric. Tela de ataque de sobreposição do Xenomorph solicitando ao usuário as informações do cartão de crédito.

Alvos de xenomorfos

A lista de alvos de sobreposição retornados pelo trojan bancário inclui alvos da Espanha, Itália, Bélgica e Portugal, mas também carteiras de criptomoedas e serviços de e-mail (Figura E).

Figura E

Imagem: ThreatFabric. Aplicativos direcionados.

Uma lista completa dos aplicativos direcionados foi fornecida pelos pesquisadores no relatório.

Como se proteger do Xenomorfo

Para proteger do Xenomorph e de outros malwares móveis, várias ações podem ser tomadas:

  • Evite lojas desconhecidas. Lojas desconhecidas normalmente não têm processos de detecção de malware, ao contrário da Google Play Store. Não instale software em seu dispositivo Android que venha de fontes não confiáveis.
  • Não é o caso do Xenomorph, mas pode ser útil para proteger contra outros malwares móveis: reinicie com frequência. Alguns malwares altamente furtivos não possuem mecanismos persistentes para não serem detectados, portanto, reinicializar com frequência pode limpar seu dispositivo dessa ameaça.
  • Verifique cuidadosamente as permissões solicitadas ao instalar um aplicativo. Os aplicativos só devem solicitar permissões para as APIs necessárias. Antes de instalar um aplicativo da Google Play Store, role para baixo na descrição do aplicativo e clique em Permissões do aplicativo para verificar o que ele solicita. Os usuários devem ser extremamente cautelosos quando um aplicativo solicita permissão para lidar com SMS. Por exemplo, um aplicativo de limpeza definitivamente não deve solicitar esse privilégio, que pode ser usado para trojans bancários como o Xenomorph para contornar o 2FA que usa SMS.
  • Observe que solicitações imediatas de atualização após a instalação são suspeitas. Um aplicativo baixado da Play Store deve ser a versão mais recente. Se o aplicativo solicitar permissão de atualização na primeira execução, imediatamente após sua instalação, é suspeito.
  • Verifique o contexto do aplicativo. O aplicativo é o primeiro de um desenvolvedor? Tem muito poucos comentários, talvez apenas comentários de cinco estrelas?
  • Use aplicativos de segurança em seu dispositivo Android. Aplicativos de segurança abrangentes devem ser instalados no seu dispositivo para protegê-lo.

Divulgação: Eu trabalho para a Trend Micro, mas as opiniões expressas neste artigo são minhas.

[ad_2]
Fonte link