本月早些時候,ThreatFabric 安全研究人員發(fā)現了一個危險程度很高的新木馬 -- Xenomorph。該木馬和 2020 年秋季開始流行的 Alien 惡意軟件存在關聯。雖然相關代碼和 Alien 相似,但是 Xenomorph 惡意軟件的破壞力要強得多。
據 ThreatFabric 稱,超過 5 萬名 Android 用戶安裝了一個包含銀行應用程序惡意軟件的惡意應用程序。據報道,該惡意軟件背后的威脅者正針對歐洲 56 家不同銀行的用戶。
正如 ThreatFabric 所指出的,黑客們總是在尋找新的方法,通過 Google Play 商店分發(fā)惡意軟件。Google 正在反擊,但黑客似乎總是領先一步。最近的一個邪惡的例子是“Fast Cleaner”應用程序。它聲稱能夠通過清除雜亂無章的東西來加快 Android 手機的速度。但實際上,Fast Cleaner 是 Xenomorph 銀行應用程序惡意軟件的一個投放器。
以下是 ThreatFabric 分析該應用程序后發(fā)現的情況:
"經過分析,我們認識到這個應用程序屬于 Gymdrop 投放器系列。Gymdrop 是 ThreatFabric 在 2021 年 11 月發(fā)現的一個投放器家族。之前它被觀察到部署了 Alien.A 的有效載荷。
從該投放器下載的配置中,ThreatFabric 能夠確認該投放器家族繼續(xù)采用該惡意軟件家族作為其有效載荷。然而,與過去不同的是,托管惡意代碼的服務器還包含另外兩個惡意軟件家族,根據特定的觸發(fā)器,它們也被返回,而不是 Alien。
ThreatFabric 說,Xenomorph仍在開發(fā)中,但破壞力已經顯現。該惡意軟件的主要目標是使用覆蓋式攻擊來竊取銀行應用程序的憑證。它還可以攔截短信和通知,以記錄和使用 2FA 令牌。ThreatFabric 還指出,Xenomorph 被設計成“可擴展和可更新的”。
ThreatFabric 的安全研究人員在文章中表示:“這種惡意軟件的記錄能力所存儲的信息非常廣泛。如果發(fā)回 C2 服務器,可用于實施鍵盤記錄,以及收集受害者和已安裝應用程序的行為數據,即使它們不屬于目標列表”。
文章轉載自cnBeta.COM