Isang kamakailang pagtuklas ng mga eksperto sa seguridad ang nagsiwalat ng pagkakaroon ng malware na partikular na nagta-target ng mga user ng Android sa US, Canada, Italy, Portugal, Spain, at Belgium.
Kilala bilang Xenomorph, ang mga salarin sa likod ng mataas na advanced na Android banking trojan na ito ay patuloy na nagdidirekta ng kanilang mga pagsisikap patungo sa mga European user sa loob ng higit sa isang taon. Gayunpaman, pinalawak nila kamakailan ang kanilang mga operasyon upang isama ang mga mamimili ng higit sa 25 institusyong pinansyal ng Amerika.
Ang Xenomorph ay bumalik, at ang pag-ulit na ito ay mas nakamamatay kaysa dati. Ngayon ay isang mas malubhang panganib, ito ay kumalat sa higit sa 100 pinansiyal at cryptocurrency apps, ayon sa mga analyst.
Mga Taktika sa Phishing At Pamamahagi ng Malware
Nagsimula ang kasalukuyang kampanya ng Xenomorph noong kalagitnaan ng Agosto, ayon sa mga analyst sa cybersecurity firm na ThreatFabric, na sinusubaybayan ang aktibidad ng malware mula noong Pebrero 2022.
Ang pinakabagong kampanya ng mga may-akda ng malware ay nagsasangkot ng mga phishing URL na humihikayat sa mga user na i-update ang kanilang mga Chrome browser at i-download ang mapanganib na APK. Gumagamit pa rin ang malware ng mga diskarte sa overlay upang mangolekta ng data, ngunit ngayon ay hinahabol na nito ang mga bangko sa US at iba't ibang cryptocurrency apps.
Ang mga analyst ng ThreatFabric ay nakakuha ng access sa payload hosting na imprastraktura ng operator ng malware sa pamamagitan ng pagsasamantala sa maluwag na mga pamamaraan ng seguridad ng operator.
Sa ngayon, ang market cap ng mga cryptocurrencies ay nasa $1.02 trilyon. Tsart: TradingView.com
Ang Private Loader ng malware, ang mga magnanakaw ng impormasyon sa Windows na RisePro at LummaC2, at ang mga bersyon ng malware ng Android na Medusa at Cabassous ay kabilang sa iba pang mapaminsalang payload na nakita nila doon.
Ang isang kapansin-pansing katangian ng pinakabagong pag-ulit ng Xenomorph ay nauukol sa advanced at adaptable nitong Automatic movement System (ATS) na istraktura, na nagpapadali sa awtomatikong paglipat ng pera mula sa isang nakompromisong device patungo sa isang kinokontrol ng isang umaatake.
Xenomorph Goes After Banks
Ang ATS engine ng Xenomorph malware ay may ilang mga module na nagbibigay-daan sa mga aktor ng pagbabanta na makakuha ng kontrol sa mga nakompromisong device at magsagawa ng isang hanay ng mga malisyosong aktibidad.
Tina-target ng malware ang mga consumer ng Chase, Amex, Ally, Citi Mobile, Citizens Bank, Bank of America, at Discover Mobile. Nakahanap ang mga mananaliksik ng ThreatFabric ng mga bagong sample ng trojan na nagta-target sa Bitcoin, Binance, at Coinbase.
Na-target ng Xenomorph banking virus ang 56 na European bank na gumagamit ng screen overlay phishing noong unang bahagi ng 2022. Naihatid ito ng Google Play sa mahigit 50,000 user.
Hadoken Security: Ang Malware Brains
Ang kumpanya sa likod nito, "Hadoken Security," ay nagpahusay sa virus at naglabas ng isang modular, flexible na bersyon noong Hunyo 2022. Ang Xenomorph ay isa sa nangungunang 10 banking trojan at isang Zimperium na "pangunahing banta" noon.
Depende sa demograpiko, ang bawat sample ng Xenomorph ay may humigit-kumulang isang daang overlay na nagta-target ng iba't ibang mga bangko at cryptocurrency na app.
Samantala, ang mga user ay dapat mag-ingat kapag hinihimok na i-upgrade ang kanilang mga mobile browser, dahil ang mga kahilingang ito ay kadalasang nakatago ng spyware.
Itinatampok na larawan mula sa Bleeping Computer
Pinagmulan: https://bitcoinist.com/xenomorph-malware-attacks-us-crypto-community/