Google Play Store'dan Dağıtılan Xenomorph adlı yeni bir kötü amaçlı yazılım, bankacılık bilgilerini çalmak için 50.000'den fazla Android cihazı bulaşmıştır.
Hala erken gelişim aşamasında, Xenomorph, İspanya, Portekiz, İtalya ve Belçika'daki düzinelerce finansal kuruluş kullanıcılarını hedefliyor.
Dolandırıcılık ve CyberCrime Önleme Şirketi'ndeki araştırmacılar, yabancı bankacılık Trojan'a benzer olan Xenomorph'u analiz etti. Bu, iki tehditin bir şekilde bağlandığını göstermektedir: Ya Xenomorph, Yabancı'nın halefidir ya da bir geliştiricisi ikisi üzerinde de çalışıyor.
Bankacılık Trojans'u Xenomorph gibi, hassas finansal bilgileri çalmayı, hesapları üstesinden gelmeyi, yetkisiz işlemleri yapmayı ve operatörlerin çalınan verileri ilgilenen alıcılara satmayı hedefliyor.
Xenomorph Malware, Google Play Store'u, 50.000 kurulumu sayan "Hızlı Temizleyici" gibi genel performans artırma uygulamalarıyla girdi.
Bu tür yardımcı programlar, yabancı bankacılık Truva atları tarafından kullanılan klasik bir zevktir, çünkü Android cihazlarının performansını iyileştirmeye söz veren araçlara her zaman bir ilgi vardır.
Play Store'dan uygulama incelemesi sırasında reddetmeyi kaçırmak için, yükleme işleminden sonra hızlı temizleyici yükü alınır, bu nedenle uygulama sunum sırasında temizdir.
ThreatFabric, ilk önce Kasım 2021'de keşfedilen ve Google Play, Chrome veya Bitcoin Management uygulamaları olarak poz veren yükleri bastırarak, "GymDrop" damlalık ailesinin bir üyesi olarak başvuruyu tanıdı.
Xenomorph'un işlevselliği, Trojan ağır gelişmede olduğu için bu noktada tam bir şekilde uçmaz. Bununla birlikte, hala bilgi çalma amacını yerine getirebileceği için önemli bir tehdidi temsil eder ve 56 farklı Avrupa bankasıdan daha azını hedeflememektedir.
Örneğin, kötü amaçlı yazılımlar bildirimleri, log sms'i girebilir ve kaplama saldırılarını gerçekleştirmek için enjeksiyonları kullanabilir, bu nedenle zaten kimlik bilgilerini ve bankacılık hesaplarını korumak için kullanılan bir kerelik şifreleri yakalayabilir.
Kurulumundan sonra, uygulama tarafından alınan ilk işlem, uygun bindirmeleri yüklemek için virüslü cihazdaki yüklü paketlerin bir listesini geri göndermektir.
Yukarıdakileri elde etmek için, kötü amaçlı yazılım, kurulum sırasında erişilebilirlik hizmeti izinlerinin verilmesini ister ve daha sonra kendisini gerektiğinde ek izinleri vermek için imtiyazları suistimal eder.
Kodda bulunan ancak henüz uygulanmayan komutların örnekleri Keylogging fonksiyonlarına ve davranışsal veri toplamalarına bakın.
ThreatFabric Raporu detayları olarak:
Erişilebilirlik motoru çok ayrıntılıdır ve akılda modüler bir yaklaşımla tasarlanmıştır. Botun gerektirdiği her bir eylem için modüller içerir ve daha fazla işlevselliği desteklemek için kolayca genişletilebilir. Bu bot spor yarı ats yeteneklerini çok yakın gelecekte görmeye özürlü olacaktır.
Sonuçta, kötü amaçlı yazılımlar herhangi bir zamanda bir sonraki seviye yetenekleri ekleyebilir, çünkü sadece küçük kod uygulamaları ve çok sayıda veri sifonlama işlevlerini etkinleştirmek için değişiklikler gerekir.
Threatfabric, Xenomorph'un şu anda "geliştirme altındaki" statüsü nedeniyle güçlü bir tehdit olmadığını değerlendirir. Zamanla, "diğer modern Android bankacılık Truva atları ile karşılaştırılabilir" tam potansiyeline ulaşabilir.
Android kötü amaçlı yazılımdan temizlemek için, oyun mağazasında gizlenen kullanıcılar, gerçek olamayacak kadar iyi olan sözleri taşıyan uygulamaları yüklemekten kaçınmalıdır. Diğer kullanıcıların değerlendirmelerini kontrol etmek bazen kötü amaçlı uygulamalardan kaçınmaya yardımcı olabilir.
Medusa Kötü Amaçlı Yazılım Rampaları Yukarı Android SMS Kimlik Avı Saldırıları
Dolaşım Mantis Android Kötü Amaçlı Yazılım Kampanyası Avrupa'da Manzaraları Setleri
Android Bankacılık Trojan Sahte Google Play Store sayfası ile yayılır
KOES Bankacılığı Truva Hitreleri Kötü Amaçlı Uzantıları ile Chrome Kaçakları
Yeni flubot ve teabot kampanyaları dünya çapında android cihazları hedefliyor
Kaynak: Bleeping Computer