Uma descoberta recente de especialistas em segurança revelou a existência de um malware que visa especificamente utilizadores Android nos EUA, Canadá, Itália, Portugal, Espanha e Bélgica.
Conhecidos como Xenomorph, os autores deste trojan bancário Android altamente avançado têm direcionado consistentemente os seus esforços para os utilizadores europeus há mais de um ano. No entanto, expandiram recentemente as suas operações para incluir consumidores de mais de 25 instituições financeiras americanas.
O Xenomorfo voltou e esta iteração é ainda mais letal do que nunca. Agora um perigo mais sério, ele se espalhou para mais de 100 aplicativos financeiros e de criptomoeda, segundo analistas.
Táticas de phishing e distribuição de malware
A atual campanha Xenomorph começou em meados de agosto, de acordo com analistas da empresa de segurança cibernética ThreatFabric, que monitoram a atividade do malware desde fevereiro de 2022.
A campanha mais recente dos autores do malware envolve URLs de phishing que incentivam os usuários a atualizar seus navegadores Chrome e baixar o APK perigoso. O malware ainda usa técnicas de sobreposição para coletar dados, mas agora está atacando bancos dos EUA e uma variedade de aplicativos de criptomoeda.
Os analistas do ThreatFabric obtiveram acesso à infraestrutura de hospedagem de carga útil do operador de malware aproveitando os procedimentos de segurança negligentes do operador.
Até hoje, o valor de mercado das criptomoedas era de US$ 1.02 trilhão. Gráfico: TradingView.com
O Private Loader do malware, os ladrões de informações do Windows RisePro e LummaC2 e as versões de malware do Android Medusa e Cabassous estavam entre outras cargas prejudiciais encontradas lá.
Uma característica digna de nota da última iteração do Xenomorph diz respeito à sua estrutura avançada e adaptável do Sistema de Movimento Automático (ATS), que facilita a movimentação automatizada de dinheiro de um dispositivo comprometido para um controlado por um invasor.
Xenomorfo vai atrás de bancos
O mecanismo ATS do malware Xenomorph possui vários módulos que permitem que os agentes da ameaça obtenham controle sobre os dispositivos comprometidos e realizem uma série de atividades maliciosas.
O malware tem como alvo os consumidores Chase, Amex, Ally, Citi Mobile, Citizens Bank, Bank of America e Discover Mobile. Os pesquisadores do ThreatFabric encontraram novas amostras de trojan que visam Bitcoin, Binance e Coinbase.
O vírus bancário Xenomorph teve como alvo 56 bancos europeus, empregando phishing de sobreposição de tela no início de 2022. O Google Play o entregou a mais de 50,000 usuários.
Segurança Hadoken: os cérebros do malware
A empresa por trás dele, “Hadoken Security”, melhorou o vírus e lançou uma versão modular e flexível em junho de 2022. O Xenomorph era um dos 10 principais trojans bancários e uma “grande ameaça” do Zimperium naquela época.
Dependendo do grupo demográfico, cada amostra do Xenomorph tem cerca de cem sobreposições direcionadas a vários bancos e aplicativos de criptomoeda.
Enquanto isso, os usuários devem ter cautela quando solicitados a atualizar seus navegadores móveis, já que essas solicitações geralmente são spywares ocultos.
Imagem em destaque do Bleeping Computer
Fonte: https://bitcoinist.com/xenomorph-malware-attacks-us-crypto-community/