Xenomorph Android bankarski trojanac se vraća
Xenomorph Android bankarski trojanac se vraća sa novom varijantom označenom kao Xenomorph.C.
Xenomorph Android bankarski trojanac se vraća; Dizajn: Saša Đurić
Treća generacija
Sigurnosni istraživači kompanije ThreatFabric su primijetili da zlonamjerni akteri koji se kriju iza naziva Hadoken Security Group reklamiraju novu verziju bankarskog trojanca, kako su ga oni nazvali Xenomorph treće generacije.
Ova nova verzija dobija mnoge nove mogućnosti ovom zlonamjernom softveru koji je već bogat funkcijama, a posebna je uvođenje veoma opsežne opcije koja pokreće usluge pristupačnosti, koje se iskorištavaju za implementaciju ATS – Automatic Transfer System koji omogućava napadačima da automatizuju ubacivanje zlonamjernog transfera novca preko platforme za instant plaćanje Pix.
Prva verzija koja se pojavila u februaru 2022. godine, imala je mogućnost napada na 56 banaka i širila se preko Google prodavnice. Najnovija verzija ovog zlonamjernog softvera sada ima posebnu Internet stranicu koja reklamira njegove karakteristike i dizajnirana je za ciljanje više od 400 bankarskih i finansijskih institucija, uključujući nekoliko novčanika za kriptovalute. Ovo pokazuje da zlonamjerni akteri teže ka uspostavljanju zlonamjernog softvera kao usluge (eng. Malware-as-a-Service – MaaS)
Xenomorph najnovija verzija je dobila sposobnost krađe kolačića (eng. cookies) u svom već opsežnom arsenalu mogućnosti. Kolačići omogućavaju korisnicima da održavaju otvorene sesije na svojim Internet pregledačima bez potrebe za ponovnim unosom svojih podataka za prijavu više puta. Ovaj zlonamjerni softver pokreće Internet pregledač sa omogućenim JavaScript interfejsom, koji koristi da navede žrtvu da se prijavi na ciljanu Internet stranicu kako bi se kolačić mogao izdvojiti. Korištenjem ove nove mogućnosti, zlonamjerni akter sa važećim kolačićem sesije dobija efektivni pristup žrtvinoj prijavljenoj Internet sesiji.
Distribucija
Distribucija se vrši zlo upotrebljavanjem usluge kompanija koje iznamljuju prostor na Internetu (eng. hosting), konkretno u ovom slučaju Discord Content Delivery Network (CDN). Ovo nije prvi put da vidimo zlonamjerni softver koji koristi ovu vrstu legitimnih usluga, odnosno nije neuobičajeno vidjeti autore zlonamjernog softvera kako koriste usluge kao što su Discord CDN ili GitHub skladišta kako bi sakrili svoje proizvode na vidnom mjestu.
Razlozi za korištenje ove vrste usluga su sasvim jednostavni, to su vrlo uobičajene usluge koje su vrlo pouzdane i koriste ih milioni ljudi. Osim toga besplatne su za korištenje, pa se lako koriste za distribuciju zlonamjernog softvera i nema ograničenja u broju korisničkih naloga. Pored toga, uobičajeno da se korisnički uređaji povezuju na takve usluge, pa je manja vjerovatnoća da će se povezivanje sa ovim servisima izazvati sumnju.
Xenomorph Distribution; Source: ThreatFabric
Mete
Xenomorph od kada se pojavio u fokusu je imao prikupljanje podatka koji mogu da otkriju identitet korisnika, kao što su korisnička imena i lozinke korištenjem preklapajućih napada (eng. overlay attack), sa interesnom zonom u Španiji, Portugalu i Italiji. Nova verzija je dodala Belgiju i Kanadu, uz još neke novčanike kriptovaluta. Ali, ako dođe do uspostavljanja zlonamjernog softvera kao usluge, doći će do mnogo različitih kampanja i mnogo različitih meta koje će određivati kupci ove zlonamjerne usluge. U tom slučaju, zlonamjerni akteri koji razvijaju ovaj softver, obično prelaze u pasivno održavanje i nadogradnju s najnovijim dizajnom svih različitih bankarskih aplikacija na koje ciljaju, kako bi mogu dalje da prodaju svoje usluge. Uz mogućnost napada na više od 400 bankarskih i finansijskih institucija, uključujući nekoliko novčanika za kriptovalute, ovo i nije tako nemoguć scenario.
Zaključak
Xenomorph pokazuje da je fokus zlonamjernih aktera i dalje na zlonamjernom softveru za mobilne uređaje. Vidljivo je kako zlonamjerni akteri usvajaju strukturni razvoj kroz cikluse i filozofiju programiranja kako bi mogli stvoriti sve opasnije zlonamjerne softvere.
Xenomorph v3 je sposoban da izvede cio proces prevare, od infekcije uz pomoć Zombinder-a, do automatizovanog prenosa sredstava pomoću ATS sistema, dolazeći do ličnih podataka korisnika koristeći keylogger i preklapajuće napade. Pored toga, zlonamjerni akteri koji stoje iza ovog zlonamjernog softvera su počeli aktivno objavljivati svoj proizvod što ukazuje na jasnu namjeru širenja dosega, vjerovatno uspostavljanjem zlonamjernog softvera kao usluge.
