{"id":4472,"date":"2023-03-13T06:00:57","date_gmt":"2023-03-13T05:00:57","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=4472"},"modified":"2023-03-12T23:16:24","modified_gmt":"2023-03-12T22:16:24","slug":"xenomorph-android-bankarski-trojanac-se-vraca","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/03\/13\/xenomorph-android-bankarski-trojanac-se-vraca\/","title":{"rendered":"Xenomorph Android bankarski trojanac se vra\u0107a"},"content":{"rendered":"

Xenomorph Android <\/em>bankarski trojanac<\/a> se vra\u0107a sa novom varijantom ozna\u010denom kao Xenomorph.C<\/em>.<\/span><\/p>\n

\"Xenomorph\"

Xenomorph Android bankarski trojanac se vra\u0107a; Dizajn: Sa\u0161a \u0110uri\u0107<\/em><\/p><\/div>\n

Tre\u0107a generacija<\/strong><\/span><\/h2>\n

Sigurnosni istra\u017eiva\u010di kompanije ThreatFabric<\/em> su primijetili<\/a> da zlonamjerni akteri koji se kriju iza naziva Hadoken Security Group<\/em> reklamiraju novu verziju bankarskog trojanca, kako su ga oni nazvali Xenomorph <\/em>tre\u0107e generacije.<\/span><\/p>\n

Ova nova verzija dobija mnoge nove mogu\u0107nosti ovom zlonamjernom softveru<\/a> koji je ve\u0107 bogat funkcijama, a posebna je uvo\u0111enje veoma opse\u017ene opcije koja pokre\u0107e usluge pristupa\u010dnosti, koje se iskori\u0161tavaju za implementaciju ATS – Automatic Transfer System <\/em>koji omogu\u0107ava napada\u010dima da automatizuju ubacivanje zlonamjernog transfera novca preko platforme za instant pla\u0107anje Pix<\/em>.<\/span><\/p>\n

Prva verzija koja se pojavila u februaru 2022. godine, imala je mogu\u0107nost napada na 56 banaka i \u0161irila se preko Google<\/em> prodavnice. Najnovija verzija ovog zlonamjernog softvera sada ima posebnu Internet stranicu koja reklamira njegove karakteristike i dizajnirana je za ciljanje vi\u0161e od 400 bankarskih i finansijskih institucija, uklju\u010duju\u0107i nekoliko nov\u010danika za kriptovalute. Ovo pokazuje da zlonamjerni akteri te\u017ee ka uspostavljanju zlonamjernog softvera kao usluge (eng. Malware-as-a-Service – MaaS<\/em>)<\/span><\/p>\n

Xenomorph<\/em> najnovija verzija je dobila sposobnost kra\u0111e kola\u010di\u0107a (eng. cookies<\/em>) u svom ve\u0107 opse\u017enom arsenalu mogu\u0107nosti. Kola\u010di\u0107i omogu\u0107avaju korisnicima da odr\u017eavaju otvorene sesije na svojim Internet pregleda\u010dima bez potrebe za ponovnim unosom svojih podataka za prijavu vi\u0161e puta. Ovaj zlonamjerni softver pokre\u0107e Internet pregleda\u010d sa omogu\u0107enim JavaScript interfejsom, koji koristi da navede \u017ertvu da se prijavi na ciljanu Internet stranicu kako bi se kola\u010di\u0107 mogao izdvojiti. Kori\u0161tenjem ove nove mogu\u0107nosti, zlonamjerni akter sa va\u017ee\u0107im kola\u010di\u0107em sesije dobija efektivni pristup \u017ertvinoj prijavljenoj Internet sesiji.<\/span><\/p>\n

 <\/p>\n

Distribucija<\/strong><\/span><\/h3>\n

Distribucija se vr\u0161i zlo upotrebljavanjem usluge kompanija koje iznamljuju prostor na Internetu (eng. hosting<\/em>), konkretno u ovom slu\u010daju Discord Content Delivery Network<\/em> (CDN<\/em>). Ovo nije prvi put da vidimo zlonamjerni softver koji koristi ovu vrstu legitimnih usluga, odnosno nije neuobi\u010dajeno vidjeti autore zlonamjernog softvera kako koriste usluge kao \u0161to su Discord CDN<\/em> ili GitHub<\/em> skladi\u0161ta kako bi sakrili svoje proizvode na vidnom mjestu.<\/span><\/p>\n

Razlozi za kori\u0161tenje ove vrste usluga su sasvim jednostavni, to su vrlo uobi\u010dajene usluge\u00a0 koje su vrlo pouzdane i koriste ih milioni ljudi. Osim toga besplatne su za kori\u0161tenje, pa se lako koriste za distribuciju zlonamjernog softvera i nema ograni\u010denja u broju korisni\u010dkih naloga. Pored toga, uobi\u010dajeno da se korisni\u010dki ure\u0111aji povezuju na takve usluge, pa je manja vjerovatno\u0107a da \u0107e se povezivanje sa ovim servisima izazvati sumnju.<\/span><\/p>\n

\"Xenomorph

Xenomorph Distribution; Source: <\/em>ThreatFabric<\/em><\/a><\/p><\/div>\n

Mete<\/strong><\/span><\/h4>\n

Xenomorph<\/em> od kada se pojavio u fokusu je imao prikupljanje podatka koji mogu da otkriju identitet korisnika, kao \u0161to su korisni\u010dka imena i lozinke kori\u0161tenjem preklapaju\u0107ih napada (eng. overlay attack<\/em>), sa interesnom zonom u \u0160paniji, Portugalu i Italiji. Nova verzija je dodala Belgiju i Kanadu, uz jo\u0161 neke nov\u010danike kriptovaluta. Ali, ako do\u0111e do uspostavljanja zlonamjernog softvera kao usluge, do\u0107i \u0107e do mnogo razli\u010ditih kampanja i mnogo razli\u010ditih meta koje \u0107e odre\u0111ivati kupci ove zlonamjerne usluge. U tom slu\u010daju, zlonamjerni akteri koji razvijaju ovaj softver, obi\u010dno prelaze u pasivno odr\u017eavanje i nadogradnju s najnovijim dizajnom svih razli\u010ditih bankarskih aplikacija na koje ciljaju, kako bi mogu dalje da prodaju svoje usluge. Uz mogu\u0107nost napada na vi\u0161e od 400 bankarskih i finansijskih institucija, uklju\u010duju\u0107i nekoliko nov\u010danika za kriptovalute, ovo i nije tako nemogu\u0107 scenario.<\/span><\/p>\n

 <\/p>\n

Zaklju\u010dak<\/strong><\/span><\/h5>\n

Xenomorph<\/em> pokazuje da je fokus zlonamjernih aktera i dalje na zlonamjernom softveru za mobilne ure\u0111aje. Vidljivo je kako zlonamjerni akteri usvajaju strukturni razvoj kroz cikluse i filozofiju programiranja kako bi mogli stvoriti sve opasnije zlonamjerne softvere.<\/span><\/p>\n

Xenomorph v3<\/em> je sposoban da izvede cio proces prevare, od infekcije uz pomo\u0107 Zombinder<\/em><\/a>-a, do automatizovanog prenosa sredstava pomo\u0107u ATS<\/em> sistema, dolaze\u0107i do li\u010dnih podataka korisnika koriste\u0107i keylogger<\/em><\/a> i preklapaju\u0107e napade. Pored toga, zlonamjerni akteri koji stoje iza ovog zlonamjernog softvera su po\u010deli aktivno objavljivati svoj proizvod \u0161to ukazuje na jasnu namjeru \u0161irenja dosega, vjerovatno uspostavljanjem zlonamjernog softvera kao usluge.<\/span><\/p>","protected":false},"excerpt":{"rendered":"

Xenomorph Android bankarski trojanac se vra\u0107a sa novom varijantom ozna\u010denom kao Xenomorph.C. Tre\u0107a generacija Sigurnosni istra\u017eiva\u010di kompanije ThreatFabric su primijetili da zlonamjerni akteri koji se kriju iza naziva Hadoken Security Group reklamiraju novu verziju...<\/p>","protected":false},"author":1,"featured_media":4474,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[187,142,289,146,231,294,96],"class_list":["post-4472","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-android","tag-backdoor","tag-cookies","tag-keylogger","tag-malware-as-a-service","tag-overlay-attack","tag-trojan"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/4472","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=4472"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/4472\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/4474"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=4472"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=4472"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=4472"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}