Una nueva variante del troyano bancario Android llamado Xenomorph ha surgido en la naturaleza, revelan los últimos hallazgos.
Nombrado “Xenomorph 3rd generation” por Hadoken Security Group, el actor de amenazas detrás de la operación, la versión actualizada viene con nuevas características que le permiten realizar fraudes financieros de manera fluida.
“Esta nueva versión del malware agrega muchas capacidades nuevas a un banquero de Android ya rico en funciones, sobre todo la introducción de un motor de tiempo de ejecución muy extenso impulsado por los servicios de accesibilidad, que es utilizado por los actores para implementar un marco ATS completo”, dijo la firma de seguridad holandesa.
Xenomorph salió a la luz por primera vez hace un año, en febrero de 2022, cuando se descubrió que apuntaba a 56 bancos europeos a través de aplicaciones de cuentagotas publicadas en Google Play Store.
En contraste, la última iteración del banquero, que tiene un sitio web dedicado que anuncia sus características, está diseñada para apuntar a más de 400 instituciones bancarias y financieras, incluidas varias billeteras de criptomonedas.
ThreatFabric dijo que detectó muestras del malware distribuido a través de Content Delivery Network (CDN) de Discord, una técnica que ha sido testigo de un aumento desde 2020. Dos de las aplicaciones con Xenomorph se enumeran a continuación:
- Play Protect (com.great.calm)
- Play Protect (meritoriousness.mollah.presser)
“Xenomorph v3 es desplegado por una aplicación Zombinder ‘vinculada’ a un convertidor de moneda legítimo, que descarga como una ‘actualización’ una aplicación que se hace pasar por Google Protect”, explicó ThreatFabric.
Zombinder se refiere a un servicio de enlace de APK anunciado en la Dark Web que permite a los ciberdelincuentes entregar malware a través de versiones troyanizadas de aplicaciones legítimas. Desde entonces, esta oferta ha sido cerrada.
Los objetivos de la última campaña van más allá de su enfoque europeo (es decir, España, Italia y Portugal) para incluir entidades financieras belgas y canadienses.
Se sabe que Xenomorph, al igual que otro malware bancario, abusa de los Servicios de accesibilidad para realizar fraudes a través de ataques de superposición. También incluye capacidades para completar automáticamente transacciones fraudulentas en dispositivos infectados, una técnica llamada Sistema de transferencia automatizado (ATS).
Con los bancos alejándose de los SMS para la autenticación de dos factores (2FA) a favor de aplicaciones de autenticación, el troyano Xenomorph incorpora un módulo ATS que le permite lanzar la aplicación y extraer los códigos de autenticación.
El malware de Android presume además de funciones de robo de cookies, lo que permite a los actores de amenazas realizar ataques de usurpación de cuentas.
“Con estas nuevas características, Xenomorph ahora es capaz de automatizar completamente toda la cadena de fraude, desde la infección hasta la extracción de fondos, convirtiéndolo en uno de los troyanos de malware de Android más avanzados y peligrosos en circulación”, dijo la compañía.
