一个新的安卓银行木马通过官方的 Google Play Store 分发,安装量超过50,000次,其目的是针对56家欧洲银行,从受损的设备中获取敏感信息。
这款恶意软件被荷兰安全公司ThreatFabric命名为 Xenomorph,据说它与另一个名为 Alien 的银行木马有很多相同部分,同时在功能方面也与其前身“截然不同”。
公司的创始人兼首席执行官 Han Sahin 说: “尽管目前还在进行中,Xenomorph 已经开始在官方应用程序商店中进行有效的覆盖和积极的分发。”“此外,它具有一个非常详细和模块化的引擎,可以随意使用无障碍服务,这在未来可以提供非常先进的能力,如 ATS。”
Alien,一个远程访问木马(RAT),具备通知嗅探和基于认证的2FA盗窃功能,在2020年8月臭名昭著的Cerberus恶意软件消失不久后就出现了。从那时起,发现了其他的Cerberus分支,包括2021年9月的 ERMAC。
跟 Alien 和 ERMAC 一样,Xenomorph 也是一个 Android 银行木马的例子。这种木马通过伪装成“快速清洁”(Fast Cleaner)等生产力应用程序,欺骗不知情的受害者安装恶意软件,从而绕过谷歌 Play Store 的安全保护。
值得注意的是,去年11月,一款名为GymDrop 的健身训练滴管应用程序被发现装载了Alien木马病毒,并将其伪装成“一套新的健身锻炼”。该应用程序有1万多次安装量。
手机应用市场情报公司 Sensor Tower 的数据显示,“Fast Cleaner”在葡萄牙和西班牙最受欢迎,其软件包名为“ vizeeva.Fast.Cleaner”,目前仍可在应用商店购买。2022年1月底,“Fast Cleaner”首次出现在 Play Store 上。
此外,用户对该应用程序的评论还警告说,“该应用程序含有恶意软件”,并且“要求持续确认更新”另一位用户说: “它在设备上安装了恶意软件,除此之外,它还有一个自我保护系统,所以你不能卸载它。”
Xenomorph 还使用了一种经典的策略,即引导受害者授予其无障碍服务特权,并滥用权限进行覆盖攻击,其中,恶意软件在来自西班牙、葡萄牙、意大利和比利时的目标应用上注入流氓登录屏幕,以窃取凭证和其他个人信息。
此外,它还配备了通知拦截功能,可以提取通过 SMS 接收的双因素身份验证令牌,并获取已安装的应用程序列表,其结果将被提取到远程命令控制服务器。
研究人员表示: “ Xenomorph 的出现再次表明,黑客正将注意力集中在官方市场的应用上。”“现代银行恶意软件的发展速度非常快,犯罪分子开始采用更精细的开发实践来支持未来的更新。”
很赞哦! (119)