Xenomorph Android malver se ponovo pojavljuje u novoj kampanji koja cilja američke banke

Nakon višemjesečne pauze, Xenomorph se vraća ciljajući na hiljade bankarskih klijenata u više zemalja. Prema istraživanju ThreatFabric-a, kampanja je aktivna od avgusta i napadači koriste novu varijantu Android malvera koji dodaje preklapanja za više kripto novčanika i cilja preko 30 bankarskih institucija u SAD-u i Portugalu. 

Pregled kampanje

Kampanja je pokrenuta putem stranica za krađu identiteta koje se predstavljaju kao ažuriranja Chromea, s maksimalno preko 3000 zabilježenih preuzimanja u Španiji, nakon čega slijedi više od 100 preuzimanja u SAD-u i Portugalu.

• Prema istraživačima, napadači su nedavno počeli da distribuišu ExobotCompact/Octo kako bi uhvatili više žrtava.
• Osim toga, istraživači su pronašli dokaze o napadačima koji ciljaju na desktop računare koristeći malver za krađu RisePro i LummaC2.
• Ovaj malver za krađu bio je sakriven u dvije datoteke pod nazivom “phoneoutsourcing.exe” i “647887023.png” i nakon izvršenja omogućio je hakerima da ukradu kredencijale iz sistema žrtava.   

Nova Xenomorph varijanta

Iako se novi uzorak ne razlikuje mnogo od prethodnih verzija, dolazi sa nekim novim karakteristikama koje ukazuju na to da njegovi autori nastavljaju da obnavljaju malver. 

• Jedna od njih je nova ‘mimička’ funkcija koja daje malicioznom softveru mogućnost da djeluje kao druga aplikacija.
• Još jedna značajna karakteristika je sofisticirani i fleksibilni sistem automatskog transfera (ATS), okvir koji omogućava automatski transfer sredstava sa kompromitovanog uređaja na onaj koji kontrolišu hakeri. 
• Konačno, tu je nova funkcija ‘antisleep’ koja omogućava operaterima malvera da zadrže produženi angažman i komunikaciju sa ugroženim uređajima.

Zaključak

Činjenica da se Xenomorph distribuiše zajedno sa malver stealer-ima ukazuje na novu aktivnost koja ranije nije viđena. To bi moglo značiti da se Android malver službeno prodaje kao MaaS hakerima ili možda postoji veza između hakera iza svakog od ovih malvera. S pojavom ove varijante , istraživači predviđaju još napada u budućnosti.

Izvor: Cyware Alerts – Hacker News