行业动态

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
新的银行木马Xenomorph正通过谷歌商店窃取客户敏感信息
2022-02-23 14:01:07 【

近日,来自 ThreatFabric 的研究人员发现了一种名为Xenomorph的新Android银行木马,它通过已安装超过 50,000 次的官方 google Play 商店分发。该银行木马已攻击 56 家欧洲银行,并从其客户的设备中窃取敏感信息。对代码的分析显示存在未实现的功能和大量的日志记录,这种情况表明这种威胁正在积极开发中。

详细内容

Xenomorph共享与Alien银行木马重叠,但它的功能与Alien的功能完全不同。研究人员推测,这两种恶意软件可能是由同一行为者开发的,或者至少是由熟悉 Alien 银行木马代码库的人开发的。

Alien于2020年9月被ThreatFabric发现,它实现了多种功能,允许它从226个应用程序中窃取凭据。外星人操作提供恶意软件即服务 (MaaS),并在几个地下黑客论坛上做广告。据研究人员称,Alien借用了Cerberus恶意软件的部分源代码。

ThreatFabric 指出,Cerberus 运营商试图出售他们的项目,因为由于犯罪团伙中开发团队的缺陷,恶意软件中的几个问题长期没有得到解决。解决问题的延迟使 Google Play Protect 能够检测到所有受感染设备上的威胁。Alien不受相同问题的影响,这也是其MaaS模式成功的原因

Alien 被认为是下一代银行木马,它还在其代码库中实现了远程访问功能。Xenomorph 与 Alien 一样,能够绕过 Google Play 商店实施的安全保护,研究人员在官方商店中发现它伪装成生产力应用程序,例如“Fast Cleaner”。

快速清洁器 (vizeeva.fast.cleaner) 仍可在 Play 商店中使用,对叠加层的分析显示 Xenomorph 是针对来自西班牙、葡萄牙、意大利和比利时的用户以及一些通用应用程序(如电子邮件服务)开发的和加密货币钱包。

Xenomorph 利用 由Accessibility Services 权限支持的经典覆盖攻击作为攻击媒介。

一旦恶意软件在设备上启动并运行,它的后台服务就会在设备上发生新情况时接收可访问性事件。如果打开的应用程序是目标列表的一部分,则 Xenomorph 将触发覆盖注入并显示冒充目标包的 WebView Activity。这里是触发覆盖的几个示例。此外,恶意软件能够滥用辅助功能服务来记录设备上发生的一切。在撰写本文时,收集到的所有信息仅显示在本地设备日志上,但将来只需进行非常小的修改就足以为恶意软件添加键盘记录和可访问性记录功能。

Xenomorph 显示了骗子对利用 Google Play 商店传播恶意软件的兴趣,以及他们致力于绕过 Google 实施的安全检查的努力。

Xenomorph 的出现再次表明,威胁行为者正在将注意力集中在在官方市场上登陆应用程序上。考虑到我们最近观察到 美杜莎和卡巴苏斯也在并排发行,这也是滴管和分销参与者的地下市场活动增加的一个信号。Xenomorph 目前是一款普通的 Android 银行木马,有很多尚未开发的潜力,很快就会发布。现代银行恶意软件正在以非常快的速度发展,犯罪分子开始采用更精细的开发实践来支持未来的更新。Xenomorph 处于这一变化的最前沿。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇针对社交网络中恶意滥用账户的分.. 下一篇供应链短缺造成网络安全问题的噩梦

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:010-56157787 ,010-56159998
企业QQ:4000043998
技术支持:010-56159998
E-Mail:800@fangyuba.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:4000043998 01056155355
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800