Ένα νέο κακόβουλο λογισμικό, γνωστό ως Xenomorph, διανέμεται μέσω του Google Play Store και έχει μολύνει περισσότερες από 50.000 συσκευές Android για να κλέψει τραπεζικές πληροφορίες.
Δείτε επίσης: Η καμπάνια Roaming Mantis Android malware εμφανίστηκε στην Ευρώπη
Αν και βρίσκεται σε πρώιμο στάδιο ανάπτυξης, το Xenomorph στοχεύει χρήστες δεκάδων χρηματοπιστωτικών ιδρυμάτων στην Ισπανία, την Πορτογαλία, την Ιταλία και το Βέλγιο.
Ερευνητές στην εταιρεία πρόληψης απάτης και εγκλήματος στον κυβερνοχώρο ThreatFabric, ανέλυσαν το Xenomorph και βρήκαν κώδικα παρόμοιο με το Alien banking trojan. Αυτό υποδηλώνει ότι τα δύο malware συνδέονται με κάποιο τρόπο.
Τραπεζικά trojans όπως το Xenomorph στοχεύουν στην κλοπή ευαίσθητων οικονομικών πληροφοριών, την ανάληψη λογαριασμών, την εκτέλεση μη εξουσιοδοτημένων συναλλαγών και οι χειριστές στη συνέχεια πουλούν τα κλεμμένα δεδομένα σε ενδιαφερόμενους αγοραστές.
Το κακόβουλο λογισμικό Xenomorph εισήλθε στο Google Play Store μέσω γενικών εφαρμογών που ενισχύουν την απόδοση, όπως το “Fast Cleaner“, το οποίο μετρά 50.000 εγκαταστάσεις.
Τέτοια βοηθητικά προγράμματα είναι ένα κλασικό δέλεαρ που χρησιμοποιείται από τραπεζικά trojans, συμπεριλαμβανομένου του Alien, επειδή υπάρχει πάντα ενδιαφέρον για εργαλεία που υπόσχονται να βελτιώσουν την απόδοση των συσκευών Android.
Δείτε ακόμα: BRATA Android malware: Κλέβει δεδομένα και εκτελεί επαναφορά εργοστασιακών ρυθμίσεων
Για να αποφύγει την απόρριψη κατά τον έλεγχο της εφαρμογής από το Play Store, το Fast Cleaner παραλαμβάνει το ωφέλιμο φορτίο μετά την εγκατάσταση, επομένως η εφαρμογή είναι καθαρή κατά την υποβολή.
Η ThreatFabric αναγνώρισε την εφαρμογή ως μέλος της οικογένειας “Gymdrop“, που ανακαλύφθηκε για πρώτη φορά τον Νοέμβριο του 2021 και παρατήρησε ωφέλιμα φορτία που παρουσιάζονται ως εφαρμογές διαχείρισης Google Play, Chrome ή Bitcoin.
Η λειτουργικότητα του Xenomorph δεν είναι πλήρης σε αυτό το σημείο, καθώς το trojan βρίσκεται υπό ανάπτυξη. Ωστόσο, εξακολουθεί να αποτελεί σημαντική απειλή, καθώς μπορεί να εκπληρώσει τον σκοπό της κλοπής πληροφοριών και έχει στοχεύσει τουλάχιστον 56 διαφορετικές ευρωπαϊκές τράπεζες.
Μετά την εγκατάστασή του, η πρώτη ενέργεια που κάνει είναι να στέλνει μια λίστα με τα εγκατεστημένα πακέτα στη μολυσμένη συσκευή για να φορτώσει τις κατάλληλες επικαλύψεις.
Για να επιτύχει τα παραπάνω, το κακόβουλο λογισμικό ζητά τη χορήγηση αδειών της Υπηρεσίας Προσβασιμότητας κατά την εγκατάσταση και στη συνέχεια κάνει κατάχρηση των προνομίων για να παραχωρήσει στον εαυτό του πρόσθετες άδειες ανάλογα με τις ανάγκες.
Δείτε επίσης: Android malware MasterFred: Στοχεύει χρήστες Netflix, Instagram & Twitter
Συνολικά, το κακόβουλο λογισμικό μπορεί να προσθέσει δυνατότητες επόμενου επιπέδου ανά πάσα στιγμή, καθώς απαιτούνται μόνο μικρές εφαρμογές και τροποποιήσεις κώδικα για την ενεργοποίηση εκτεταμένων λειτουργιών συλλογής δεδομένων.
Για να αποφύγουν το κακόβουλο λογισμικό που παραμονεύει στο Play Store, οι χρήστες θα πρέπει να αποφεύγουν την εγκατάσταση εφαρμογών που φέρουν υποσχέσεις που είναι πολύ καλές για να είναι αληθινές. Ο έλεγχος των κριτικών άλλων χρηστών μπορεί μερικές φορές να βοηθήσει στην αποφυγή κακόβουλων εφαρμογών.
