Вирус Xenomorph для Android похищает данные 400 банков и криптобирж

Блоги

10 мар, 14:35 Pavelshakh За пост начислено вознаграждение

Вредоносная программа Xenomorph для Android, в которой добавлены значительные возможности для проведения вредоносных атак, включая новую систему автоматизированных переводов (ATS) и возможность кражи учетных данных для 400 банков.

рекомендации

RTX 4060 Ti сразу со скидкой 15 000р

-30% на 50" TV 4K Ultra HD = дешевле 30 тр

RTX 4060 Ti Gigabyte дешевле всех других

-20000р на Ryzen 3950X - пора брать

Упала на порядок цена 65" TV Samsung 4K

Впервые Xenomorph был замечен компанией ThreatFabric в феврале 2022 года, которая обнаружила первую версию банковского трояна в магазине Google Play, где он собрал более 50 000 загрузок. Эта первая версия была нацелена на 56 европейских банков, использующаяся для оверлейных атак и злоупотребляя разрешениями Accessibility Services для перехвата уведомлений с целью кражи одноразовых кодов.

Разработка вредоносной программы продолжалась в течение 2022 года ее авторами, компанией "Hadoken Security", но ее новые версии никогда не распространялись в больших объемах. Вместо этого Xenomorph v2, который был выпущен в июне 2022 года, имел лишь короткие всплески тестовой активности. Однако вторая версия отличалась полной переработкой кода, что сделало ее более модульной и гибкой.

Xenomorph v3 гораздо более способный и зрелый, чем предыдущие версии, и способен автоматически похищать данные, включая учетные данные, остатки на счетах, выполнять банковские операции и завершать перевод средств. "Благодаря этим новым функциям Xenomorph теперь способен полностью автоматизировать всю цепочку мошенничества, от заражения до вывода средств, что делает его одним из самых продвинутых и опасных троянов Android Malware в обращении", - предупреждает ThreatFabric.

ThreatFabric сообщает, что, скорее всего, Hadoken планирует продавать Xenomorph операторам через платформу MaaS (malware as a service), и запуск веб-сайта, продвигающего новую версию вредоносной программы, укрепляет эту гипотезу. В настоящее время Xenomorph v3 распространяется через платформу 'Zombinder' в магазине Google Play, выдавая себя за конвертер валют и переключаясь на использование значка Play Protect после установки вредоносной полезной нагрузки.

Последняя версия Xenomorph нацелена на 400 финансовых учреждений, в основном из США, Испании, Турции, Польши, Австралии, Канады, Италии, Португалии, Франции, Германии, ОАЭ и Индии.

В число таких учреждений входят Chase, Citibank, American Express, ING, HSBC, Deutsche Bank, Wells Fargo, Amex, Citi, BNP, UniCredit, National Bank of Canada, BBVA, Santander и Caixa. Список слишком обширен, чтобы приводить его здесь, но компания ThreatFabric перечислила все банки-мишени в приложении к своему отчету.

Кроме того, вредоносная программа нацелена на 13 криптовалютных бирж, включая Binance, BitPay, KuCoin, Gemini и Coinbase.

Наиболее заметной особенностью новой версии Xenomorph является фреймворк ATS, который позволяет киберпреступникам автоматически извлекать учетные данные, проверять баланс счета, проводить транзакции и красть деньги из целевых приложений без выполнения удаленных действий.

рекомендации

-8000р на 4060 Ti Gigabyte Gaming в Ситилинке

Слив i9 13900 в Ситилинке - смотри

10 видов RTX 4060 Ti уже в продаже

Много 4080 от 100тр - цены в рублях не растут

-220000р на 8K Samsung 75" - смотри цену

Много <b>4070</b> в Ситилинке

15 видов 4090 в Ситилинке - цены идут вниз

Ищем PHP-программиста для апгрейда конфы

-17000р на 4070 Ti Gigabyte в Ситилинке

Компьютеры от 10 тр в Ситилинке

16 видов <b>4070 Ti</b> в Ситилинке - от 80 тр

3060 дешевле 30тр цена - как при курсе 68

-7% на ASUS 3050 = 28 тр

Вместо этого оператор просто отправляет JSON-скрипты, которые Xenomorph преобразует в список операций и автономно выполняет их на зараженном устройстве.

Этот материал написан посетителем сайта, и за него начислено вознаграждение.