O malware Xenomorph para Android agora atinge bancos dos EUA e carteiras de criptomoedas.
26 de Setembro de 2023

Pesquisadores de segurança descobriram uma nova campanha que distribui uma nova versão do malware Xenomorph para usuários do Android nos Estados Unidos, Canadá, Espanha, Itália, Portugal e Bélgica.

Analistas da empresa de cibersegurança ThreatFabric têm acompanhado a atividade do Xenomorph desde fevereiro de 2022 e notaram que a nova campanha foi lançada em meados de agosto.

A versão mais recente do Xenomorph está visando usuários de carteiras de criptomoedas e várias instituições financeiras dos EUA.

O Xenomorph apareceu pela primeira vez no início de 2022, operando como um trojan bancário que visava 56 bancos europeus através de phishing em overlays. Ele foi distribuído através do Google Play, onde contou com mais de 50.000 instalações.

Seus autores, "Hadoken Security", continuaram o desenvolvimento, e em junho de 2022, eles lançaram uma versão reescrita que tornou o malware modular e mais flexível.

Naquela época, o Xenomorph já estava entre os dez trojans bancários mais prolíficos de Zimperium, portanto, já havia alcançado o status de "ameaça principal".

Em agosto de 2022, a ThreatFabric informou que o Xenomorph estava sendo distribuído por meio de um novo dropper chamado "BugDrop", que burlava recursos de segurança no Android 13.

Em dezembro de 2022, os mesmos analistas relataram sobre uma nova plataforma de distribuição de malware chamada "Zombinder", que embutiu a ameaça no arquivo APK de aplicativos Android legítimos.

Mais recentemente, em março de 2023, Hadoken lançou a terceira versão principal do Xenomorph, apresentando um sistema de transferência automatizado (ATS) para transações autônomas no dispositivo, bypass de MFA, roubo de cookies e a capacidade de visar mais de 400 bancos.

Na última campanha, os operadores de malware optaram por usar páginas de phishing, atraindo visitantes para atualizar seu navegador Chrome e enganando-os para baixar o APK malicioso.

O malware continua a usar overlays para roubar informações. No entanto, agora expandiu seu escopo de alvo para incluir instituições financeiras dos Estados Unidos e vários aplicativos de criptomoedas.

A ThreatFabric explica que cada amostra de Xenomorph é carregada com cerca de uma centena de overlays visando diferentes conjuntos de bancos e aplicativos de criptomoedas, dependendo do público-alvo.

Embora as novas amostras de Xenomorph não sejam muito diferentes das variantes anteriores, elas vêm com alguns novos recursos indicando que seus autores continuam a refinar e aprimorar o malware.

Primeiro, um novo recurso de "imitação" pode ser ativado por um comando correspondente, dando ao malware a capacidade de agir como outro aplicativo.

Além disso, a imitação tem uma atividade embutida chamada IDLEActivity, que atua como um WebView para exibir conteúdo legítimo da web a partir do contexto de um processo confiável.

Este sistema substitui a necessidade de esconder ícones do launcher de aplicativos após a instalação, o que é sinalizado como comportamento suspeito pela maioria das ferramentas de segurança móvel.

Outro novo recurso é o "ClickOnPoint", que permite aos operadores do Xenomorph simular toques em coordenadas específicas da tela.

Isso permite que os operadores passem por telas de confirmação ou realizem outras ações simples sem empregar o módulo ATS completo, que pode acionar alertas de segurança.

Finalmente, há um novo sistema "anti-sono" que impede o dispositivo de desligar a tela por meio de uma notificação ativa.

Isso é útil para prolongar o engajamento e evitar interrupções que exigem a reativação das comunicações de comando e controle.

Aproveitando as medidas de segurança fracas do operador do malware, os analistas da ThreatFabric conseguiram acessar sua infraestrutura de hospedagem de payload.

Lá, eles descobriram cargas maliciosas adicionais, incluindo as variantes de malware para Android Medusa e Cabassous, os ladrões de informações do Windows RisePro e LummaC2, e o carregador de malware Private Loader.

Os usuários devem ter cuidado com os prompts em dispositivos móveis para atualizar seus navegadores, pois provavelmente fazem parte de campanhas de distribuição de malware.

A distribuição do Xenomorph ao lado de malware potente para Windows sugere colaboração entre os atores de ameaças ou a possibilidade do trojan Android ser vendido como Malware-as-a-Service (MaaS).

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...