Новости Новая версия трояна Xenomorph автоматизирует кражу средств с банковского счёта

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022

Банковский троян на Android возвращается с новыми и разрушительными функциями​


k4n53tpgsn136vh1l5fy106awna1msr0.jpg


Согласно Для просмотра ссылки Войди или Зарегистрируйся ИБ-компании Для просмотра ссылки Войди или Зарегистрируйся , в дикой природе появился новый вариант банковского трояна для Android под названием Xenomorph.

Обновленная версия, названная «Xenomorph 3rd generation» компанией Hadoken Security Group, получила новые функции, в том числе улучшенный механизм выполнения на основе службы специальных возможностей Android, который используется хакерами для реализации автоматизированной службы передачи ( Для просмотра ссылки Войди или Зарегистрируйся ).

Впервые о Xenomorph стало известно в феврале 2022 года. Он был нацелен на 56 европейских банков, используя приложения-дропперы, которые были опубликованы в магазине Google Play. Последняя итерация Xenomorph предназначена для более 400 банковских и финансовых учреждений, включая несколько криптовалютных кошельков. По словам ThreatFabric, обнаруженные образцы распространяются через сеть доставки контента Discord (CDN).

«Xenomorph v3 развертывается с помощью приложения-дроппера Zombinder, имитирующего конвертер валют, который загружает в качестве обновления приложение, выдающее себя за Google Play Protect (Google Play Защита). Приложения Zombinder разработаны с использованием сервиса Google Bound.


69mysaxk4au87odz19cqt6iceub7gyca.png

Влияние обнаруженной кампании расширяется от европейских компаний до бельгийских и канадских финансовых организаций.

Xenomorph, как и любой банковский троян, злоупотребляет службой специальных возможностей Android (Accessibility Service) для проведения оверлей-атак (Overlay attack). Троян также может автоматически завершать мошеннические транзакции на зараженных устройствах - метод, называемый автоматизированной службой передачи (Automated Transfer Systems, ATS).

Поскольку банки переходят от SMS для двухфакторной аутентификации ( Для просмотра ссылки Войди или Зарегистрируйся ) к приложениям-аутентификаторам, троян Xenomorph включает модуль ATS, который позволяет ему запускать извлекать коды аутентификатора из приложений-аутентификаторов.


il72okqa7j6945ayv1m5l5vlv98irs6a.png

Xenomorph v3 также обладает функцией кражи Для просмотра ссылки Войди или Зарегистрируйся -файлов, что позволяет хакеру захватить учетную запись. Cookie-файлы сеанса позволяют пользователю поддерживать открытый сеанс в браузере без необходимости повторного ввода своих учетных данных. Украв cookie-файл сеанса, злоумышленник получает доступ к сеансу вошедшего в систему жертвы.


b9x6qhtkowjdjcfsupowvqek6csfh3iz.png

Благодаря новым функциям Xenomorph теперь может полностью автоматизировать всю цепочку атаки, от заражения до кражи средств, что делает его одним из самых передовых и опасных вредоносных троянов для Android.
 
Источник новости
www.securitylab.ru

Похожие темы