Вирус Xenomorph для Android похищает данные 400 банков и криптобирж

Впервые Xenomorph был замечен компанией ThreatFabric в феврале 2022 года, которая обнаружила первую версию банковского трояна в магазине Google Play, где он собрал более 50 000 загрузок. Эта первая версия была нацелена на 56 европейских банков, использующаяся для оверлейных атак и злоупотребляя разрешениями Accessibility Services для перехвата уведомлений с целью кражи одноразовых кодов.Разработка вредоносной программы продолжалась в течение 2022 года ее авторами, компанией "Hadoken Security", но ее новые версии никогда не распространялись в больших объемах. Вместо этого Xenomorph v2, который был выпущен в июне 2022 года, имел лишь короткие всплески тестовой активности. Однако вторая версия отличалась полной переработкой кода, что сделало ее более модульной и гибкой.Xenomorph v3 гораздо более способный и зрелый, чем предыдущие версии, и способен автоматически похищать данные, включая учетные данные, остатки на счетах, выполнять банковские операции и завершать перевод средств. "Благодаря этим новым функциям Xenomorph теперь способен полностью автоматизировать всю цепочку мошенничества, от заражения до вывода средств, что делает его одним из самых продвинутых и опасных троянов Android Malware в обращении", - предупреждает ThreatFabric.ThreatFabric сообщает, что, скорее всего, Hadoken планирует продавать Xenomorph операторам через платформу MaaS (malware as a service), и запуск веб-сайта, продвигающего новую версию вредоносной программы, укрепляет эту гипотезу. В настоящее время Xenomorph v3 распространяется через платформу 'Zombinder' в магазине Google Play, выдавая себя за конвертер валют и переключаясь на использование значка Play Protect после установки вредоносной полезной нагрузки.Последняя версия Xenomorph нацелена на 400 финансовых учреждений, в основном из США, Испании, Турции, Польши, Австралии, Канады, Италии, Португалии, Франции, Германии, ОАЭ и Индии.В число таких учреждений входят Chase, Citibank, American Express, ING, HSBC, Deutsche Bank, Wells Fargo, Amex, Citi, BNP, UniCredit, National Bank of Canada, BBVA, Santander и Caixa. Список слишком обширен, чтобы приводить его здесь, но компания ThreatFabric перечислила все банки-мишени в приложении к своему отчету.Кроме того, вредоносная программа нацелена на 13 криптовалютных бирж, включая Binance, BitPay, KuCoin, Gemini и Coinbase.Наиболее заметной особенностью новой версии Xenomorph является фреймворк ATS, который позволяет киберпреступникам автоматически извлекать учетные данные, проверять баланс счета, проводить транзакции и красть деньги из целевых приложений без выполнения удаленных действий.Вместо этого оператор просто отправляет JSON-скрипты, которые Xenomorph преобразует в список операций и автономно выполняет их на зараженном устройстве.