Xenomorph Android kötü amaçlı yazılım, yeni bir otomatik aktarım sistemi (ATS) çerçevesi ve 400 banka için kimlik bilgileri çalma yeteneği de dahil olmak üzere kötü niyetli saldırılar yapmak için önemli özellikler ekleyen yeni bir sürüm yayınladı.
Xenomorph ilk olarak Şubat 2022'de TehditFabric tarafından tespit edildi ve bu da Google Play Store'daki bankacılık Truva atının ilk versiyonunu keşfeden ve burada 50.000'den fazla indirme topladı.
Bu ilk versiyon, 56 Avrupa bankasını, tek seferlik kodları çalmak için bildirim müdahalesini gerçekleştirmek için yer paylaşımı saldırıları için enjeksiyonlar ve istismar erişilebilirlik hizmetleri izinlerini hedefledi.
Kötü amaçlı yazılımların geliştirilmesi 2022 boyunca yazarları “Hadoken Güvenliği” tarafından devam etti, ancak yeni sürümleri asla yüksek hacimlerde dağıtılmadı.
Bunun yerine, Haziran 2022'de piyasaya sürülen Xenomorph V2, vahşi doğada sadece kısa test aktivitesi patlamaları vardı. Bununla birlikte, ikinci sürüm, daha modüler ve esnek hale getiren tam kod revizyonu ile dikkat çekti.
Xenomorph V3, önceki sürümlerden çok daha yetenekli ve olgundur, kimlik bilgileri, hesap bakiyeleri, bankacılık işlemlerini gerçekleştirir ve fon transferlerini sonuçlandırabilir.
"Bu yeni özelliklerle, Xenomorph artık tüm dolandırıcılık zincirini enfeksiyondan fonların pespiltrasyonuna kadar otomatikleştirebilir, bu da onu dolaşımdaki en gelişmiş ve tehlikeli Android kötü amaçlı yazılım truva atlarından biri haline getirebilir."
TehditFabric, muhtemelen bir MaaS (hizmet olarak kötü amaçlı yazılım) platformu aracılığıyla Xenomorph'u operatörlere satmayı planladığını ve kötü amaçlı yazılımın yeni sürümünü tanıtan bir web sitesinin başlatılması bu hipotezi güçlendiriyor.
Şu anda, Xenomorph V3, Google Play Store'daki "Zombinder" platformu aracılığıyla dağıtılıyor, para birimi dönüştürücü olarak poz veriyor ve kötü amaçlı yükü yükledikten sonra bir Play Protect simgesi kullanmaya geçiyor.
Xenomorph'un en son versiyonu, özellikle ABD, İspanya, Türkiye, Polonya, Avustralya, Kanada, İtalya, Portekiz, Fransa, Almanya, BAE ve Hindistan'dan 400 finansal kurum hedefliyor.
Hedeflenen kurumların bazı örnekleri arasında Chase, Citibank, American Express, Ing, HSBC, Deutsche Bank, Wells Fargo, Amex, Citi, BNP, Unicredit, Kanada Ulusal Bankası, BBVA, Santander ve Caixa bulunmaktadır.
Liste buraya dahil edilemeyecek kadar geniş, ancak TehditFabric, raporunun ekinde hedeflenen tüm bankaları listeledi.
Ayrıca, kötü amaçlı yazılım, Binance, Bitpay, Kucoin, İkizler ve Coinbase dahil olmak üzere 13 kripto para cüzdanını hedefler.
Yeni Xenomorph sürümünde tanıtılan en dikkate değer özellik, siber suçluların kimlik bilgilerini otomatik olarak çıkarmasını, hesap bakiyelerini kontrol etmesini, işlemleri yapmasını ve uzaktan işlemler yapmadan hedef uygulamalardan para çalmasını sağlayan ATS Framework'tür.
Bunun yerine, operatör sadece Xenomorph'un bir işlem listesine dönüştüğü JSON komut dosyalarını gönderir ve bunları enfekte olmuş cihazda özerk bir şekilde yürütür.
"Xenomorph tarafından kullanılan [ATS yürütme] motoru, programlanabilir ve ATS komut dosyalarına dahil edilebilen olası eylemlerin kapsamlı seçimi sayesinde, koşullu yürütme ve eylem önceliklendirmesine izin veren bir sisteme ek olarak rekabetinden öne çıkıyor." Tehdit Fabrik Araştırmacılar.
Kötü amaçlı yazılımların ATS çerçevesinin en etkileyici yeteneklerinden biri, üçüncü taraf kimlik doğrulama uygulamalarının içeriğini günlüğe kaydetme, aksi takdirde otomatik işlemleri engelleyecek MFA (çok faktörlü kimlik doğrulama) korumalarını yenme yeteneğidir.
Bankalar yavaş yavaş SMS MFA'yı terk ediyor ve bunun yerine müşterilerin kimlik doğrulayıcı uygulamaları kullanmasını öneriyor, bu nedenle Xenomorph'un bu uygulamalara aynı cihazda erişme yeteneğini görüyor.
Yukarıdakilere ek olarak, yeni Xenomorph, kullanıcının oturum çerezlerini depolayan Android Cookiemanager'dan çerezleri koparabilen bir kurabiye stealer'a sahiptir.
Stealer, JavaScript arabirimi etkinleştirilmiş meşru bir hizmetin URL'siyle bir tarayıcı penceresi başlatarak kurbanı giriş bilgilerini girmeye kandırır.
Tehdit oyuncusu kurabiyeyi çalıyor, bu da kurbanın web oturumlarını ele geçirmeyi ve hesaplarını devralmayı mümkün kılar.
Xenomorph, bir yıl önce siber suç alanına giren kayda değer yeni bir kötü amaçlı yazılımdı.
Şimdi, üçüncü büyük versiyonunun yayınlanmasıyla, dünya çapında Android kullanıcıları için çok daha büyük bir tehdit.
Mevcut dağıtım kanalı olan Zombinder, kullanıcılar Google Play'den yükledikleri uygulamalarla dikkatli olmalı, incelemeleri okumalı ve yayıncıya arka plan kontrolleri çalıştırmalıdır.
Genel olarak, telefonunuzda çalışan uygulamaların sayısının mümkün olan minimum seviyeye tutulması ve yalnızca bilinen ve güvenilir satıcılardan uygulamaları yüklemeniz tavsiye edilir.
Siber suç pazarında satılık 1.800'den fazla Android kimlik avı formu
Yeni 'Hook' Android kötü amaçlı yazılım, bilgisayar korsanlarının telefonunuzu uzaktan kontrol etmesine izin verir
Bilgisayar korsanları, Windows, Android kötü amaçlı yazılımları itmek için sahte chatgpt uygulamalarını kullanır
Hassas izinleri kötüye kullanmaktan kötü amaçlı yazılımları engellemek için Android 14
Ursnif kötü amaçlı yazılım, banka hesabı hırsızlığından başlangıç erişimine geçiş yapar
Kaynak: Bleeping Computer