Uma versão atualizada de um trojan bancário Android chamado Xenomorph está mirando em mais de 35 instituições financeiras nos EUA.
A campanha, de acordo com a empresa de segurança holandesa ThreatFabric, utiliza páginas da web de phishing projetadas para atrair vítimas a instalar apps maliciosos do Android que visam uma lista mais ampla de aplicativos do que suas versões anteriores.
Alguns dos outros países mais visados comprimem Espanha, Canadá, Itália e Bélgica.
"Esta nova lista adiciona dezenas de novos aplicativos para instituições dos Estados Unidos, Portugal e várias carteiras de criptomoedas, seguindo uma tendência que tem sido constante entre todas as famílias de malwares bancários no último ano", disse a empresa em uma análise publicada na segunda-feira.
O Xenomorph é uma variante de outro malware bancário chamado Alien que surgiu pela primeira vez em 2022. No final daquele ano, o malware financeiro foi propagado por meio de um novo lançador chamado BugDrop, que driblou os recursos de segurança do Android 13.
Uma iteração subsequente, identificada pela primeira vez em março, veio acompanhada de recursos para realizar fraudes usando o que é conhecido como Sistema de Transferência Automática (ATS - Automatic Transfer System).
Esse recurso permite que seus operadores, chamados de Hadoken Security, assumam o controle total do dispositivo por meio do abuso dos privilégios de acessibilidade do Android e transfiram ilegalmente fundos do dispositivo comprometido para uma conta sob seu controle.
O malware também aproveita ataques de sobreposição para roubar informações sensíveis, como credenciais e números de cartão de crédito, exibindo telas de login falsas no topo dos aplicativos bancários visados.
As sobreposições são obtidas de um servidor remoto na forma de uma lista de URLs.
Em outras palavras, a estrutura do ATS torna possível extrair automaticamente as credenciais, acessar informações do saldo da conta, iniciar transações, obter tokens MFA de aplicativos autenticadores e realizar transferências de fundos, tudo sem a necessidade de intervenção humana.
"Os atores investiram muito esforço em módulos que suportam dispositivos Samsung e Xiaomi", disseram os pesquisadores.
"Isso faz sentido, considerando que esses dois juntos representam aproximadamente 50% de todo o market share do Android."
Algumas das novas funcionalidades adicionadas às versões mais recentes do Xenomorph incluem um recurso "anti-sono" que impede a tela do telefone de desligar com a criação de uma notificação push, uma opção para simular um toque simples em uma coordenada específica da tela e se passar por outro aplicativo usando um recurso de "imitação".
Para evitar a detecção por longos períodos de tempo, o malware oculta seu ícone da tela inicial após a instalação.
O abuso dos serviços de acessibilidade permite que ele conceda a si mesmo todas as permissões de que precisa para rodar sem restrições em um dispositivo comprometido.
Versões anteriores do trojan bancário se disfarçaram como aplicativos e utilitários legítimos na Google Play Store.
Mas a última onda de ataques, observada em meados de agosto de 2023, altera o modus operandi, distribuindo os aplicativos por meio de sites falsos que oferecem atualizações do navegador Chrome.
Uma indicação de que os atores da ameaça estão mirando em vários sistemas operacionais, a investigação descobriu que a infraestrutura de hospedagem do payload também está sendo usada para servir malwares Windows stealer como Lumma C2 e RisePro, bem como um carregador de malware chamado PrivateLoader.
"O Xenomorph mantém seu status como um malware bancário extremamente perigoso para Android, apresentando uma ATS muito versátil e poderoso, com vários módulos já criados, com a ideia de suportar vários dispositivos de fabricantes", disse a ThreatFabric.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...