Nieuwe Trojan voor Android Bankieren die zich via Google Play Store verspreidt, richt zich op Europeanen

Cheval de Troie bancaire Android Nachrichten

Een nieuwe Android banking-trojan met meer dan 50.000 installaties is gedistribueerd via de officiële Google Play Store met als doel 56 Europese banken te targeten en gevoelige informatie van gecompromitteerde apparaten te verzamelen.

nagesynchroniseerd Xenomorf door het Nederlandse beveiligingsbedrijf ThreatFabric, zou de in ontwikkeling zijnde malware overlap delen met een andere banktrojan die wordt gevolgd onder de naam Alien, terwijl het ook “radicaal anders” is dan zijn voorganger in termen van de aangeboden functionaliteiten.

“Ondanks dat Xenomorph nog volop aan de gang is, heeft het al effectieve overlays en wordt het actief gedistribueerd in officiële app stores”, zegt Han Sahin, de oprichter en CEO van ThreatFabric. “Bovendien beschikt het over een zeer gedetailleerde en modulaire engine om toegankelijkheidsservices te misbruiken, die in de toekomst zeer geavanceerde mogelijkheden, zoals ATS, zouden kunnen aandrijven.”

Alien, een trojan voor externe toegang (RAT) met functies voor het snuiven van meldingen en op authenticatie gebaseerde 2FA-diefstalfuncties, snel verschenen na de ondergang van de beruchte Cerberus malware in augustus 2020. Sindsdien zijn er andere vorken van Cerberus in het wild gespot, waaronder ERMAC in september 2021.

Xenomorph, zoals Alien en ERMAC, is nog een ander voorbeeld van een Android-bankiertrojan die is gericht op het omzeilen van de beveiligingsmaatregelen van de Google Play Store door zich voor te doen als productiviteits-apps zoals “Fast Cleaner” om onbewuste slachtoffers te misleiden om de malware te installeren.

Trojaans paard voor Android Bankieren

Het is vermeldenswaard dat een dropper-app voor fitnesstraining met meer dan 10.000 installaties – GymDrop genaamd – in november de Alien banking trojan-payload afleverde door het te maskeren als een ‘nieuw pakket met trainingsoefeningen’.

Fast Cleaner, dat de pakketnaam “vizeeva.fast.cleaner” heeft en nog steeds beschikbaar is in de app store, is het populairst in Portugal en Spanje, gegevens van Sensor Tower, een marktonderzoeksbureau voor mobiele apps. onthulten de app verschijnt eind januari 2022 voor het eerst in de Play Store.

Bovendien bevatten beoordelingen voor de app van gebruikers waarschuwingen dat “deze app malware bevat” en dat deze “vragen[s] voor een continue bevestiging van een update.” Een andere gebruiker zei: “Het plaatst malware op het apparaat en daarnaast heeft het een zelfbeschermingssysteem zodat je het niet kunt verwijderen.”

Xenomorph gebruikt ook de beproefde tactiek om de slachtoffers ertoe aan te zetten de toegankelijkheidsservice-privileges te verlenen en de toestemmingen te misbruiken om overlay-aanvallen uit te voeren, waarbij de malware frauduleuze inlogschermen injecteert bovenop gerichte apps uit Spanje, Portugal, Italië en België om inloggegevens en andere persoonlijke informatie over te hevelen.

Bovendien is het uitgerust met een functie voor het onderscheppen van meldingen om twee-factor-authenticatietokens die via sms zijn ontvangen, te extraheren en de lijst met geïnstalleerde apps te krijgen, waarvan de resultaten worden geëxfiltreerd naar een externe command-and-control-server.

“Het opduiken van Xenomorph laat eens te meer zien dat bedreigingsactoren hun aandacht richten op het landen van applicaties op officiële markten”, aldus de onderzoekers. “Modern Banking-malware evolueert in een zeer snel tempo en criminelen beginnen meer verfijnde ontwikkelingspraktijken toe te passen om toekomstige updates te ondersteunen.”

David
Rate author
Hackarizona