Xenomorph, банковский троян для Android, обнаруженный ThreatFabric в феврале 2022 года. Работа над этим семейством вредоносных программ продолжалась в течение всего 2022 года, и, несмотря на распространение в небольших кампаниях, оно так и не достигло таких масштабов, как другие семейства вредоносных программ, такие как Octo или более поздний Hook.
Кампании Xenomorph всегда характеризовались короткими и ограниченными усилиями по распространению, сначала через GymDrop, дроппер, созданный и управляемый той же группой, а затем через Zombinder, другой вектор распространения, о котором мы рассказывали в предыдущей статье в декабре 2022 года. В обоих случаях короткие всплески активности свидетельствовали о коротких пробных запусках, а не о реальном крупномасштабном распространении с мошенническими намерениями.
Однако в ближайшем будущем ситуация может измениться: Аналитики ThreatFabric обнаружили новый вариант этого семейства вредоносных программ, который мы классифицируем как Xenomorph.C.
Эта новая версия вредоносной программы добавляет множество новых возможностей к и без того богатому функциями Android Banker, в первую очередь, это внедрение очень обширного механизма выполнения на базе Accessibility services, который используется субъектами для реализации полного каркаса ATS. Благодаря этим новым функциям Xenomorph теперь способен полностью автоматизировать всю цепочку мошенничества, от заражения до эксфильтрации средств, что делает его одним из самых продвинутых и опасных троянов Android Malware в обращении.
Кроме того, образцы, выявленные ThreatFabric, содержали конфигурации со списками целей, состоящими из более чем 400 банковских и финансовых учреждений, включая несколько криптовалютных кошельков, что более чем в 6 раз больше по сравнению с предыдущими вариантами, включая финансовые учреждения со всех континентов.
Кроме того, после обнаружения некоторых образцов, принадлежащих этому новому варианту, наши исследователи также обнаружили веб-сайт, посвященный рекламе этого Android-банкера, что указывает на явные намерения войти в ландшафт MaaS и начать крупномасштабное распространение.
Эта функциональность характерна для более продвинутых семейств вредоносных программ, таких как Gustuff и SharkBot, которые нанесли целевым учреждениям ущерб на тысячи евро.
Indicators of Compromise
Domains
- cofi.hk
- dedeperesere.xyz
- inj.had0.live
- jobviewer.co
- team.mi1kyway.tech
- vldeolan.com
SHA256
- 15e3c87290957590dbaf4522645e92933b8f0187007468045a5bd102c47ea0f4
- 88d3cb485f405a6cec9d14e9ee2865491855897bfc9a958c0e7c06485a074d02
- 9ce2ad40f3998860ca1ab21d97ea7346bf9d26ff867fc69c4d005c477c67a899