Нядаўняе адкрыццё, зробленае экспертамі па бяспецы, паказала існаванне шкоднаснага ПЗ, нацэленага спецыяльна на карыстальнікаў Android у ЗША, Канадзе, Італіі, Партугаліі, Іспаніі і Бельгіі.
Вядомыя як Xenomorph, злачынцы, якія стаяць за гэтым высокаразвітым банкаўскім траянам Android, ужо больш за год паслядоўна накіроўваюць свае намаганні на еўрапейскіх карыстальнікаў. Аднак нядаўна яны пашырылі сваю дзейнасць, каб уключыць кліентаў больш чым 25 амерыканскіх фінансавых устаноў.
Ксенаморф вярнуўся, і гэтая ітэрацыя яшчэ больш смяротная, чым калі-небудзь. Цяпер гэта больш сур'ёзная небяспека, па словах аналітыкаў, яна распаўсюдзілася на больш чым 100 фінансавых і крыптавалютных прыкладанняў.
Тактыка фішынгу і распаўсюджванне шкоднасных праграм
Цяперашняя кампанія Xenomorph пачалася ў сярэдзіне жніўня, па словах аналітыкаў фірмы па кібербяспецы ThreatFabric, якія адсочваюць дзейнасць шкоднаснага ПЗ з лютага 2022 года.
Апошняя кампанія аўтараў шкоднасных праграм уключае ў сябе фішынгавыя URL-адрасы, якія заклікаюць карыстальнікаў абнаўляць свае браўзеры Chrome і спампоўваць небяспечны APK. Шкоднасная праграма па-ранейшаму выкарыстоўвае метады накладання для збору даных, але цяпер яна пераследуе амерыканскія банкі і розныя дадаткі для крыптавалют.
Аналітыкі ThreatFabric атрымалі доступ да інфраструктуры хостынгу карыснай нагрузкі аператара шкоднасных праграм, скарыстаўшыся слабымі працэдурамі бяспекі аператара.
На сёння рынкавая капіталізацыя крыптавалют склала 1.02 трыльёна долараў. Дыяграма: TradingView.com
Шкоднасная праграма Private Loader, злодзеі інфармацыі Windows RisePro і LummaC2, а таксама версіі шкоднасных праграм Android Medusa і Cabassous былі сярод іншых шкодных карысных нагрузак, якія яны знайшлі там.
Вартая ўвагі характарыстыка апошняй ітэрацыі Xenomorph датычыцца яе ўдасканаленай і адаптыўнай структуры сістэмы аўтаматычнага перамяшчэння (ATS), якая палягчае аўтаматызаваны перамяшчэнне грашовых сродкаў са скампраметаванай прылады на прыладу, якой кіруе зламыснік.
Ксенаморф ідзе за банкамі
Рухавік ATS шкоднаснага ПЗ Xenomorph мае некалькі модуляў, якія дазваляюць суб'ектам пагрозы атрымаць кантроль над скампраметаванымі прыладамі і выконваць шэраг шкоднасных дзеянняў.
Шкоднасная праграма накіравана на спажыўцоў Chase, Amex, Ally, Citi Mobile, Citizens Bank, Bank of America і Discover Mobile. Даследчыкі ThreatFabric знайшлі новыя ўзоры траянаў, накіраваных на Bitcoin, Binance і Coinbase.
У пачатку 56 года банкаўскі вірус Xenomorph нацэлены на 2022 еўрапейскіх банкаў, якія выкарыстоўваюць фішынг накладання экрана. Google Play даставіў яго больш чым 50,000 XNUMX карыстальнікам.
Hadoken Security: мазгі шкоднасных праграм
Фірма, якая стаіць за гэтым, «Hadoken Security», палепшыла вірус і выпусціла модульную гнуткую версію ў чэрвені 2022 года. Xenomorph быў адным з 10 лепшых банкаўскіх траянаў і «галоўнай пагрозай» Zimperium.
У залежнасці ад дэмаграфічнай групы, кожны ўзор Xenomorph мае каля сотні накладак, арыентаваных на розныя банкі і праграмы для криптовалют.
Між тым, карыстальнікі павінны праяўляць асцярожнасць, калі іх просяць абнавіць іх мабільныя браўзеры, паколькі гэтыя запыты часта з'яўляюцца схаваным шпіёнскім ПЗ.
Рэкамендаваны малюнак з Bleeping Computer
Крыніца: https://bitcoinist.com/xenomorph-malware-attacks-us-crypto-community/