Nesenais drošības ekspertu atklājums atklāja ļaunprātīgas programmatūras esamību, kas īpaši vērsta uz Android lietotājiem ASV, Kanādā, Itālijā, Portugālē, Spānijā un Beļģijā.
Šī augsti attīstītā Android banku Trojas zirga vaininieki, kas pazīstami kā Xenomorph, jau vairāk nekā gadu ir konsekventi vērsuši savus centienus uz Eiropas lietotājiem. Tomēr viņi nesen ir paplašinājuši savu darbību, iekļaujot patērētājus no vairāk nekā 25 Amerikas finanšu iestādēm.
Ksenomorfs ir atgriezies, un šī iterācija ir vēl nāvējošāka nekā jebkad agrāk. Pēc analītiķu domām, tagad tas ir nopietnāks apdraudējums, un tas ir izplatījies vairāk nekā 100 finanšu un kriptovalūtu lietotnēs.
Pikšķerēšanas taktika un ļaunprātīgas programmatūras izplatīšana
Pašreizējā Xenomorph kampaņa sākās augusta vidū, liecina kiberdrošības uzņēmuma ThreatFabric analītiķi, kuri ļaunprogrammatūras darbību uzrauga kopš 2022. gada februāra.
Ļaunprātīgas programmatūras autoru jaunākajā kampaņā ir ietverti pikšķerēšanas vietrāži URL, kas mudina lietotājus atjaunināt pārlūkprogrammas Chrome un lejupielādēt bīstamo APK. Ļaunprātīga programmatūra joprojām izmanto pārklājuma paņēmienus datu vākšanai, taču tagad tā izmanto ASV bankas un dažādas kriptovalūtas lietotnes.
ThreatFabric analītiķi ieguva piekļuvi ļaunprātīgas programmatūras operatora kravnesības mitināšanas infrastruktūrai, izmantojot operatora vieglās drošības procedūras.
Uz šodienu kriptovalūtu tirgus maksimālā robeža bija USD 1.02 triljons. Diagramma: TradingView.com
Ļaunprātīgas programmatūras Private Loader, Windows informācijas zagļi RisePro un LummaC2, kā arī Android ļaunprogrammatūras versijas Medusa un Cabassous bija starp citām kaitīgajām kravām, ko viņi tur atrada.
Ievērības cienīgs jaunākās Xenomorph iterācijas raksturlielums ir tā uzlabotā un pielāgojamā automātiskās kustības sistēmas (ATS) struktūra, kas atvieglo automatizētu skaidras naudas pārvietošanu no apdraudētas ierīces uz tādu, kuru kontrolē uzbrucējs.
Xenomorph Goes After Banks
Ļaunprātīgās Xenomorph ATS dzinējam ir vairāki moduļi, kas ļauj apdraudējuma dalībniekiem iegūt kontroli pār apdraudētām ierīcēm un veikt virkni ļaunprātīgu darbību.
Ļaunprātīgas programmatūras mērķauditorija ir Chase, Amex, Ally, Citi Mobile, Citizens Bank, Bank of America un Discover Mobile. ThreatFabric pētnieki atklāja jaunus Trojas zirgu paraugus, kuru mērķauditorija ir Bitcoin, Binance un Coinbase.
Xenomorph banku vīruss 56. gada sākumā bija vērsts pret 2022 Eiropas bankām, kas izmantoja ekrāna pārklājuma pikšķerēšanu. Google Play to piegādāja vairāk nekā 50,000 XNUMX lietotāju.
Hadoken drošība: ļaunprātīgas programmatūras smadzenes
Uzņēmums “Hadoken Security” uzlaboja vīrusu un 2022. gada jūnijā izlaida modulāru, elastīgu versiju. Xenomorph bija viens no 10 populārākajiem banku Trojas zirgiem un Zimperium “lielākais apdraudējums”.
Atkarībā no demogrāfijas katram Xenomorph paraugam ir aptuveni simts pārklājumu, kuru mērķauditorija ir dažādas bankas un kriptovalūtas lietotnes.
Tikmēr lietotājiem ir jāievēro piesardzība, ja tiek mudināts jaunināt savas mobilās pārlūkprogrammas, jo šie pieprasījumi bieži vien ir slēpta spiegprogrammatūra.
Piedāvātais attēls no Bleeping Computer
Avots: https://bitcoinist.com/xenomorph-malware-attacks-us-crypto-community/