- 9,320
- 18
- 8 Ноя 2022
В троян добавлены новые функции, которые помогли обчистить криптокошельки и счета клиентов банков.
Киберпреступники, стоящие за сложным банковским трояном для Android под названием Xenomorph, активно атаковали пользователей в Европе более года и недавно переключились на клиентов более чем 20-ти американских банков.
Среди основных целей – клиенты крупных финансовых учреждений, таких как Chase, Amex, Ally, Citi Mobile, Citizens Bank, Bank of America и Discover Mobile. Новые образцы вредоносного ПО, проанализированные исследователями из ThreatFabric , также содержат функции, нацеленные на несколько криптовалютных кошельков, включая Bitcoin, Binance и Coinbase.
Согласно Для просмотра ссылки Войдиили Зарегистрируйся ThreatFabric, тысячи пользователей Android в США и Испании с августа загрузили вредоносное ПО на свои устройства. Особенно в опасности пользователи устройств Samsung и Xiaomi, занимающих около 50% рынка Android.
ThreatFabric впервые сообщил о Xenomorph Для просмотра ссылки Войдиили Зарегистрируйся , обнаружив троян, маскирующийся под легитимные приложения в Google Play. Одно из них было загружено более 50 000 пользователей Android.
В последней кампании, начавшейся в августе 2023 года, злоумышленники изменили основной метод распространения вредоносного ПО. Теперь Xenomorph распространяется через фишинговые сайты, многие из которых выдают себя за сайты обновления Chrome или Google Play .
Поддельная страница обновления Google Chrome
Особенностью последней версии Xenomorph является сложная и гибкая система автоматического перевода (Automatic Transfer System, ATS), позволяющая автоматически переводить средства с зараженного устройства на устройство злоумышленника.
Механизм ATS содержит несколько модулей, которые позволяют хакеру взять под контроль скомпрометированное устройство и выполнить различные вредоносные действия. Среди модулей есть те, которые позволяют вредоносному ПО предоставлять себе все разрешения, необходимые для беспрепятственной работы на взломанном устройстве.
Другие функции позволяют вредоносному ПО отключать настройки, отклонять предупреждения системы безопасности, останавливать перезагрузку и удаление устройств, а также предотвращать отзыв определенных привилегий. Многие из этих функций присутствовали и в первоначальных версиях.
Также в новую версию Xenomorph добавлены возможности, которые позволяют вредоносному ПО записывать данные в хранилище и предотвращать переход скомпрометированного устройства в режим «сна».
Исследователи безопасности ThreatFabric заключили, что Xenomorph сохраняет свой статус чрезвычайно опасного банковского вредоносного ПО для Android, обладающего очень универсальным и мощным движком ATS, с несколькими уже созданными модулями и поддержкой устройств нескольких производителей.
Впервые о Xenomorph стало известно в феврале 2022 года. Он был нацелен на 56 европейских банков, используя приложения-дропперы, которые были опубликованы в магазине Google Play. Предпоследняя итерация Xenomorph была предназначена для более 400 банковских и финансовых учреждений, включая несколько криптовалютных кошельков, а также обладала новыми опциями. Благодаря им Xenomorph может п Для просмотра ссылки Войдиили Зарегистрируйся , от заражения до кражи средств, что делает его одним из самых передовых и опасных вредоносных троянов для Android.
Киберпреступники, стоящие за сложным банковским трояном для Android под названием Xenomorph, активно атаковали пользователей в Европе более года и недавно переключились на клиентов более чем 20-ти американских банков.
Среди основных целей – клиенты крупных финансовых учреждений, таких как Chase, Amex, Ally, Citi Mobile, Citizens Bank, Bank of America и Discover Mobile. Новые образцы вредоносного ПО, проанализированные исследователями из ThreatFabric , также содержат функции, нацеленные на несколько криптовалютных кошельков, включая Bitcoin, Binance и Coinbase.
Согласно Для просмотра ссылки Войди
ThreatFabric впервые сообщил о Xenomorph Для просмотра ссылки Войди
В последней кампании, начавшейся в августе 2023 года, злоумышленники изменили основной метод распространения вредоносного ПО. Теперь Xenomorph распространяется через фишинговые сайты, многие из которых выдают себя за сайты обновления Chrome или Google Play .
Поддельная страница обновления Google Chrome
Особенностью последней версии Xenomorph является сложная и гибкая система автоматического перевода (Automatic Transfer System, ATS), позволяющая автоматически переводить средства с зараженного устройства на устройство злоумышленника.
Механизм ATS содержит несколько модулей, которые позволяют хакеру взять под контроль скомпрометированное устройство и выполнить различные вредоносные действия. Среди модулей есть те, которые позволяют вредоносному ПО предоставлять себе все разрешения, необходимые для беспрепятственной работы на взломанном устройстве.
Другие функции позволяют вредоносному ПО отключать настройки, отклонять предупреждения системы безопасности, останавливать перезагрузку и удаление устройств, а также предотвращать отзыв определенных привилегий. Многие из этих функций присутствовали и в первоначальных версиях.
Также в новую версию Xenomorph добавлены возможности, которые позволяют вредоносному ПО записывать данные в хранилище и предотвращать переход скомпрометированного устройства в режим «сна».
Исследователи безопасности ThreatFabric заключили, что Xenomorph сохраняет свой статус чрезвычайно опасного банковского вредоносного ПО для Android, обладающего очень универсальным и мощным движком ATS, с несколькими уже созданными модулями и поддержкой устройств нескольких производителей.
Впервые о Xenomorph стало известно в феврале 2022 года. Он был нацелен на 56 европейских банков, используя приложения-дропперы, которые были опубликованы в магазине Google Play. Предпоследняя итерация Xenomorph была предназначена для более 400 банковских и финансовых учреждений, включая несколько криптовалютных кошельков, а также обладала новыми опциями. Благодаря им Xenomorph может п Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
