Xenomorph opäť cerí zuby: Útoční na aplikácie bánk. Takto sa šíri v online priestore!
Sofistikovaný bankový trojan Xenomorph opäť vyplával na povrch, no teraz v lepšej forme, než kedykoľvek predtým. Na toto si dajte pozor!
Zákerný trójsky kôň Xenomorph už na Androidoch v minulosti vyčíňal. Po prvýkrát sa objavil začiatkom roka 2022 a vtedy bezpečnostní experti netušili aké problémy narobí.
Xenomorph sa radí do skupiny bankových trójskych koňov. Šíri sa prostredníctvom nevinne vyzerajúcej aplikácie, ktorú užívatelia nájdu napríklad aj v Obchode Play. Po stiahnutí a inštalácií však bez vedomia obete stiahne zo serverov útočníka malvér, ktorý dokáže vymeniť obrazovky bankových aplikácií za falošné, do ktorej užívateľ zadá svoje dáta. Tie idú priamo kyberzločincovi.
Tento konkrétny malvér sa objavil aj začiatkom tohto roka a zdá sa, že opäť útočí. Bezpečnostní analytici z Threat Fabric si všimli prípady malvéru Xenomorph aj v auguste tohto roka. Tentokrát sa bankový trójsky kôň Xenomorph šíri prostredníctvom phishingových stránok, cez ktoré si obeť stiahne infikovanú aplikáciu. Tentokrát malvér dokáže imitovať výrazne viac bankových aplikácií než kedykoľvek predtým.
Po prvýkrát malvér odhalili v Spojených štátoch a tisíce stiahnutí mali falošné aplikácie aj v Španielsku. Zdá sa, že nová kampaň pôsobí po celom svete.
Xenomorph netreba brať na ľahkú váhu
Bankové trójske kone sú samé o sebe nepríjemnou záležitosťou, no Xenomorph možno v tomto smere považovať za mimoriadne vyspelý malvér. Dokáže získať kontrolu nad celým smartfónom vďaka jednoduchej SMS manipulácií, ktorú vie zneužiť vďaka frameworku ATS a možnostiam dostupnosti.
Neprehliadnite
Xenomorph následne používa rôzne prekrývacie obrazovky, aby získal osobné údaje, teda používateľské mená, heslá, čísla kreditnej karty a podobne. Prekrývacie obrazovky pritom imitujú prihlasovacie obrazovky reálnych bankových, alebo iných inštitúcií. Xenomorph má zoznam niekoľkých modulov, aby dokázal vykonať sadu rôznych akcií. Útočí primárne na Androidy, no okrem čistého Androidu poznáme aj nadstavby, napríklad MIUI od Xiaomi alebo One UI od Samsungu. Každá nadstavba si pritom vyžaduje jedinečné poradie operácií, aby mohol malvér vykonávať rozdielne úkony.
Čo sa však týka samotných základov, tie sa nijak výrazne nezmenili. Bezpečnostní experti ale hovoria, že to je znakom “vyspelosti” tohto bankového trójskeho koňa. Kyberzločinci sa skôr zameriavajú na pridávanie ďalších rozhraní, ktoré by mohol malvér imitovať. To znamená, že malvér funguje mimoriadne dobre tak ako je. Hoci analytici nepostrehli výrazné zmeny, drobné modifikácie Xenomorph aj napriek tomu dostal.
Medzi výrazné funkcie patrí napríklad antisleep, ktorá zabráni zariadeniu, aby sa dostalo do režimu spánku. Do dosiahne tak, že udržiava aktívnu notifikáciu. Ďalšou je funkcia mimic. Ak je táto funkcia aktívna, znamená to že je malvér aktívny a v tom prípade spúšťa aktivitu aplikácie, za ktorú sa vydáva. Toto správanie umožňuje Xenomorphovi správať sa ako akákoľvek iná aplikácia, nie ako malvér.
Xenomorph sa šíri cez falošné stránky a vo väčšine prípadov sa vydáva ako aktualizácia prehliadača Chrome. Užívatelia by sa pred podobnými pokusmi mali mať na pozore. Prehliadač Chrome, ako aj iné služby, sa aktualizujú automaticky. Nemusíte si vyhľadávať aktualizácie a manuálne ich inštalovať. Keď na podobnú stránku natrafíte, s najväčšou pravdepodobnosťou ide o pokus o podvod.
Komentáre