高危木馬Xenomorph曝光：專門竊取用戶銀行憑證

本月早些時(shí)候，ThreatFabric 安全研究人員發(fā)現(xiàn)了一個(gè)危險(xiǎn)程度很高的新木馬 -- Xenomorph。該木馬和 2020 年秋季開始流行的 Alien 惡意軟件存在關(guān)聯(lián)。雖然相關(guān)代碼和 Alien 相似，但是 Xenomorph 惡意軟件的破壞力要強(qiáng)得多。
據(jù) ThreatFabric 稱，超過 5 萬名 Android 用戶安裝了一個(gè)包含銀行應(yīng)用程序惡意軟件的惡意應(yīng)用程序。據(jù)報(bào)道，該惡意軟件背后的威脅者正針對(duì)歐洲 56 家不同銀行的用戶。
正如 ThreatFabric 所指出的，黑客們總是在尋找新的方法，通過 Google Play 商店分發(fā)惡意軟件。Google 正在反擊，但黑客似乎總是領(lǐng)先一步。最近的一個(gè)邪惡的例子是“Fast Cleaner”應(yīng)用程序。它聲稱能夠通過清除雜亂無章的東西來加快 Android 手機(jī)的速度。但實(shí)際上，F(xiàn)ast Cleaner 是 Xenomorph 銀行應(yīng)用程序惡意軟件的一個(gè)投放器。
以下是 ThreatFabric 分析該應(yīng)用程序后發(fā)現(xiàn)的情況：
"經(jīng)過分析，我們認(rèn)識(shí)到這個(gè)應(yīng)用程序?qū)儆?Gymdrop 投放器系列。Gymdrop 是 ThreatFabric 在 2021 年 11 月發(fā)現(xiàn)的一個(gè)投放器家族。之前它被觀察到部署了 Alien.A 的有效載荷。
從該投放器下載的配置中，ThreatFabric 能夠確認(rèn)該投放器家族繼續(xù)采用該惡意軟件家族作為其有效載荷。然而，與過去不同的是，托管惡意代碼的服務(wù)器還包含另外兩個(gè)惡意軟件家族，根據(jù)特定的觸發(fā)器，它們也被返回，而不是 Alien。
ThreatFabric 說，Xenomorph仍在開發(fā)中，但破壞力已經(jīng)顯現(xiàn)。該惡意軟件的主要目標(biāo)是使用覆蓋式攻擊來竊取銀行應(yīng)用程序的憑證。它還可以攔截短信和通知，以記錄和使用 2FA 令牌。ThreatFabric 還指出，Xenomorph 被設(shè)計(jì)成“可擴(kuò)展和可更新的”。
ThreatFabric 的安全研究人員在文章中表示：“這種惡意軟件的記錄能力所存儲(chǔ)的信息非常廣泛。如果發(fā)回 C2 服務(wù)器，可用于實(shí)施鍵盤記錄，以及收集受害者和已安裝應(yīng)用程序的行為數(shù)據(jù)，即使它們不屬于目標(biāo)列表”。
文章轉(zhuǎn)載自cnBeta.COM