Güvenlik araştırmacıları, Xenomorph kötü amaçlı yazılımının yeni bir sürümünü ABD, Kanada, İspanya, İtalya, Portekiz ve Belçika'daki Android kullanıcılarına dağıtan yeni bir kampanya keşfetti.
Siber güvenlik şirketi TehditFabric'teki analistler, Şubat 2022'den bu yana Xenomorph etkinliğini izliyor ve yeni kampanyanın Ağustos ortasında başlatıldığını belirtiyor.
Xenomorph'un en son sürümü, kripto para birimi cüzdanlarının ve çeşitli ABD finans kurumlarının kullanıcılarını hedeflemektir.
Xenomorph ilk olarak 2022'nin başlarında Wild'da ortaya çıktı ve 56 Avrupa bankasını ekran kaplama kimlik avı ile hedefleyen bir bankacılık truva atı olarak faaliyet gösterdi. 50.000'den fazla kurulum saydığı Google Play aracılığıyla dağıtıldı.
Yazarları "Hadoken Security", geliştirme devam etti ve Haziran 2022'de kötü amaçlı yazılım modüler ve daha esnek hale getiren yeniden yazılmış bir versiyon yayınladılar.
O zamana kadar, Xenomorph Zimperium'un en üretken on bankacılık Truva atı üzerindeydi, bu yüzden zaten "büyük tehdit" statüsüne ulaştı.
Ağustos 2022'de TehditFabric, Xenomorph'un Android 13'teki güvenlik özelliklerini atlayan "Bugdrop" adlı yeni bir damlalıkla dağıtıldığını bildirdi.
Aralık 2022'de aynı analistler, tehdidi meşru Android Apps'ın APK dosyasına yerleştiren "Zombinder" olarak adlandırılan yeni bir kötü amaçlı yazılım dağıtım platformu hakkında rapor verdiler.
Son zamanlarda, Mart 2023'te Hadoken, otonom cihazda işlemler, MFA bypass, çerez çalma ve 400'den fazla bankayı hedefleme yeteneği için otomatik bir transfer sistemi (ATS) içeren Xenomorph'un üçüncü büyük sürümünü yayınladı.
En son kampanyada, kötü amaçlı yazılım operatörleri kimlik avı sayfalarını kullanmayı seçti, ziyaretçileri Chrome tarayıcısını güncellemeleri ve kötü niyetli APK'yı indirmeleri için kandırmayı istedi.
Kötü amaçlı yazılım, bilgi çalmak için kaplamaları kullanmaya devam eder. Ancak, hedefleme kapsamını ABD'den finansal kurumları ve birden fazla kripto para birimi uygulamasını içerecek şekilde genişletti.
TehditFabric, her bir ksenomorf örneğinin, hedeflenen demografiye bağlı olarak farklı bankaları ve kripto uygulamalarını hedefleyen yaklaşık yüz kaplama ile yüklendiğini açıklar.
Yeni Xenomorph örnekleri önceki varyantlardan çok farklı olmasa da, yazarlarının kötü amaçlı yazılımları geliştirmeye ve geliştirmeye devam ettiğini gösteren bazı yeni özelliklerle birlikte geliyorlar.
İlk olarak, yeni bir "taklit" özelliği karşılık gelen bir komutla etkinleştirilebilir ve kötü amaçlı yazılımlara başka bir uygulama olarak hareket etme yeteneği verir.
Ayrıca, MIMIC, güvenilir bir süreç bağlamında meşru web içeriğini görüntülemek için bir web görüşü görevi gören Idleactivity adlı yerleşik bir etkinliğe sahiptir.
Bu sistem, çoğu mobil güvenlik aracı tarafından şüpheli davranış olarak işaretlenen uygulama sonrası uygulama sonrası simgeleri gizleme ihtiyacının yerini alır.
Başka bir yeni özellik, Xenomorph operatörlerinin belirli ekran koordinatlarında Musluklar simüle etmesini sağlayan "ClickonPoint" dir.
Bu, operatörlerin, güvenlik uyarılarını tetikleyebilecek tam ATS modülünü kullanmadan onay ekranlarını geçmesine veya diğer basit eylemleri gerçekleştirmesine olanak tanır.
Son olarak, cihazın aktif bir bildirim aracılığıyla ekranını kapatmasını önleyen yeni bir "antis uyku" sistemi var.
Bu, katılımı uzatmak ve komuta ve kontrol iletişiminin yeniden kurulmasını gerektiren kesintilerden kaçınmak için yararlıdır.
Tehdit fabrik analistleri, kötü amaçlı yazılım operatörünün zayıf güvenlik önlemlerinden yararlanarak, yük barındırma altyapılarına erişebilirler.
Orada, Android kötü amaçlı yazılım varyantları Medusa ve Cabassous, Windows Bilgi Stealers Risepro ve Lummac2 ve özel yükleyici kötü amaçlı yazılım yükleyicisi de dahil olmak üzere ek kötü amaçlı yükler keşfettiler.
Kullanıcılar, kötü amaçlı yazılım dağıtım kampanyalarının bir parçası olduğu için tarayıcılarını güncellemek için mobil cihazlardaki istemlerle dikkatli olmalıdır.
Xenomorph'un güçlü Windows kötü amaçlı yazılımların yanında dağıtım, tehdit aktörleri veya Android Truva atının hizmet olarak kötü amaçlı yazılım (MAAS) olarak satılması olasılığı arasında işbirliğini önermektedir.
Yeni Android MMRAT kötü amaçlı yazılım, verilerinizi çalmak için Protobuf Protokolü kullanır
Google Play'de Truva Sinyali ve Telgraf Uygulamaları Teslim Edildi Casus Yazılım
Gru bilgisayar korsanları Ukrayna ordusuna yeni Android kötü amaçlı yazılımlarla saldırır
Binlerce Android APK, analizi engellemek için sıkıştırma hilesi kullanıyor
Spynote android kötü amaçlı yazılım enfeksiyonları kaynak kodu sızıntısından sonra artış
Kaynak: Bleeping Computer