首页 > 安全 > 正文

Xenomorph Android Banking Trojan通过Google Play商店分发

最后更新 :2022.02.24

Xenomorph Android Trojan已通过针对56个欧洲银行的官方Google Play商店分发。

威胁特征的研究人员发现了一个新的Android银行木马,Dubbed  Xenomorph,通过官方Google Play商店分发了有超过50,000个安装。

银行木工特洛伊木马用于瞄准56个欧洲银行,并从客户的设备窃取敏感信息。

守则的分析显示未实现的功能和大量的伐木存在,表明这种威胁处于积极发展的情况。两个恶意软件可以由同一个演员开发,或者至少由熟悉外星人的码名的人开发银行木马。

在2020年9月,通过威胁特征来发现外星人,它实现了多种功能,允许它从226个应用程序中窃取凭证。外星人操作提供了一个恶意软件服务(MAA),它是在几个地下黑客论坛上宣传的。根据研究人员,Alien借用来自&nbsp的源代码的部分; Cerberus恶意软件。犯罪团伙的发展团队。解决问题的延迟允许Google Play保护检测所有受感染设备的威胁。外星人不受同一问题的影响,这就是其MAAS模型成功的原因

外星人被认为是一个下一代银行场特洛伊木马,也将远程访问功能实现到其CodeBase中。

Xenomorph,如外星人,研究人员在普努法播放商店实现的安全保护是绕过安全保护,在伪装成快速清洁剂等生产力应用程序的官方商店中发现它。

快速清洁剂(Vizeeva.fast.cleaner)仍然可用于播放商店,覆盖物的分析显示出Xenomorph开发给目标用户来自西班牙,葡萄牙,意大利和比利时,以及一些通用应用程序和nbsp;像电子邮件服务,和加密电脑钱包。Xenomorph banking Trojan Xenomorph利用Classic&Nbsp;覆盖攻击
通过可访问性服务权限作为攻击矢量。

一旦恶意软件在设备上运行并运行,无论何时设备上发生新的内容,它的后台服务会接收可接受的事件。如果打开的应用程序是目标列表的一部分,则Xenomorph将触发叠加注射并显示WebView Activity作为目标P.ACKAGE。这里作为触发覆盖的一些例子读取通过威胁特定发布的分析。此外,恶意软件能够滥用可访问性服务以记录设备上发生的所有内容。在撰写本文时,收集的所有信息仅显示在本地设备日志上,但在将来,一个非常少的修改就足够了,可以为恶意软件添加键入和可访问性日志记录功能。

Xenomorph在利用Google Play商店来扩散恶意软件和他们致力于绕过谷歌实现的安全检查的努力。 Xenomorph的表面再次表明,再次威胁演员重点关注官方市场的着陆应用。这也是一个信号,即地下市场对滴注器和分销演员的增加,考虑到我们最近观察到的Medusa和Cabassous也正在分发SIDE-by-侧。结束了报告。Xenomorph目前是一个平均的Android银行木马,具有很多未开发的潜力,可以很快发布。现代银行恶意软件正在以非常速度的速度发展,犯罪分子开始采用更加精致的开发实践来支持未来的更新。Xenomorph处于这种变化的最前沿。

- END -

看更多