Un nuovo malware chiamato Xenomorph distribuito tramite Google Play Store ha infettato più di 50.000 dispositivi Android per rubare informazioni bancarie agli utenti di dozzine di istituti finanziari in Spagna, Portogallo, Italia e Belgio.
I ricercatori della società di prevenzione di frodi e criminalità informatica ThreatFabric, analizzando Xenomorph, hanno trovato un codice simile al trojan bancario Alien. Ciò suggerisce che le due minacce sono in qualche modo collegate: o Xenomorph è il successore di Alien o uno sviluppatore ha lavorato su entrambi.
I trojan bancari come Xenomorph mirano a rubare informazioni finanziarie sensibili, rilevare conti, eseguire transazioni non autorizzate e gli operatori vendono quindi i dati rubati agli acquirenti interessati.
Intrufolarsi nel Play Store
Il malware Xenomorph è entrato nel Google Play Store tramite applicazioni generiche di potenziamento delle prestazioni come “Fast Cleaner”, che conta 50.000 installazioni.
Tali utility sono un classico richiamo utilizzato dai trojan bancari, incluso Alien, perché c’è sempre un interesse per gli strumenti che promettono di migliorare le prestazioni dei dispositivi Android.
Per evitare il rifiuto durante la revisione dell’applicazione dal Play Store, Fast Cleaner recupera il payload dopo l’installazione, quindi l’app è pulita al momento dell’invio.
ThreatFabric ha riconosciuto l’applicazione come membro della famiglia di contagocce “Gymdrop”, scoperta per la prima volta nel novembre 2021, e ha osservato la spinta di payload che si presentano come app di gestione di Google Play, Chrome o Bitcoin.
Capacità xenomorfiche
La funzionalità di Xenomorph non è in piena regola a questo punto, poiché il trojan è in forte sviluppo. Tuttavia, rappresenta ancora una minaccia significativa in quanto può soddisfare il suo scopo di furto di informazioni e prende di mira non meno di 56 diverse banche europee.
Ad esempio, il malware può intercettare notifiche, registrare SMS e utilizzare iniezioni per eseguire attacchi overlay, quindi può già strappare credenziali e password monouso utilizzate per proteggere i conti bancari.
Dopo la sua installazione, la prima azione intrapresa dall’app è quella di restituire un elenco dei pacchetti installati sul dispositivo infetto per caricare gli opportuni overlay.
Per ottenere quanto sopra, il malware richiede la concessione delle autorizzazioni del servizio di accessibilità al momento dell’installazione, quindi abusa dei privilegi per concedersi autorizzazioni aggiuntive secondo necessità.
Esempi di comandi presenti nel codice ma non ancora implementati si riferiscono alle funzioni di keylogging e alla raccolta di dati comportamentali.
Come dettagli del rapporto ThreatFabric :
Il suo motore di accessibilità è molto dettagliato ed è progettato pensando a un approccio modulare. Contiene moduli per ogni azione specifica richiesta dal bot e può essere facilmente esteso per supportare più funzionalità. Non sarebbe sorprendente vedere questo bot sfoggiare capacità semi-ATS in un futuro molto prossimo.
Tutto sommato, il malware può aggiungere funzionalità di livello successivo in qualsiasi momento, poiché sono necessarie solo piccole implementazioni e modifiche del codice per attivare estese funzioni di sottrazione dei dati.
ThreatFabric valuta che Xenomorph non sia una forte minaccia al momento a causa del suo stato “in fase di sviluppo”. Col tempo, tuttavia, potrebbe raggiungere il suo pieno potenziale, “paragonabile ad altri moderni trojan Android Banking”.
Per evitare il malware Android che si nasconde nel Play Store, gli utenti dovrebbero evitare di installare app che portano promesse troppo belle per essere vere. Controllare le recensioni di altri utenti a volte può aiutare a evitare app dannose.