Được phát hiện trong tháng này, Trojan ngân hàng mới, được gọi là “Xenomorph”, chuyển qua Cửa hang tro chơi và đã được hơn 50.000 người tải xuống.
Người ngoài hành tinh có đến giữa chúng ta không? Gần như vậy… ThreatFainst, một công ty mạng của Hà Lan chuyên chống lại tội phạm máy tính ngân hàng, đã phát hiện ra phần mềm độc hại mới trong những tuần gần đây. Nó có hình dạng của một con ngựa thành Troy và ẩn trong các ứng dụng di động giả mạo được tìm thấy trên Google Play Storecửa hàng của công ty Mountain View.
Xuất hiện, một ứng dụng dọn dẹp dữ liệu tầm thường
Được đặt tên là Xenomorph, liên quan đến một trojan ngân hàng khác có tên Alien, từ đó Xenomorph khôi phục một số thông số nhất định, phần mềm độc hại này nguy hiểm hơn nhiều, ở chỗ ban đầu nó có thể thoát khỏi các radar của Google và Android. Hoạt động của nó vốn đã rất quan trọng và các chức năng của nó khác với phiên bản tiền nhiệm, một số thậm chí còn chưa được triển khai.
Các nhà nghiên cứu của ThreatFainst phát hiện ra rằng Xenomorph đã được triển khai trên hơn 50.000 thiết bị, thuộc về các chủ sở hữu dường như là khách hàng từ 56 ngân hàng châu Âu khác nhau.
50.000 lượt tải xuống này sẽ được ghi có cho một ứng dụng – Fast Cleaner, kể từ khi được rút khỏi Cửa hàng Play – có các tính năng chính cho phép, trên giấy tờ và theo quan điểm của người dùng không hiểu biết, dọn dẹp thiết bị của họ và xóa dữ liệu không cần thiết .
Phần mềm độc hại tăng cường khả năng tiếp cận hoạt động thông qua cuộc tấn công lớp phủ
Trên thực tế, ứng dụng giả mạo này thuộc về ống nhỏ giọt Gymdrop, được phát hiện vài tháng trước, nhờ vào việc triển khai tải trọng Alien.A. Nhưng trái ngược với những gì đã được thực hiện vào thời Alien.A, máy chủ lưu trữ mã độc cũng chứa hai họ phần mềm độc hại khác, ngoài Alien: ExobotCompact.D, thường được sử dụng trong các chiến dịch độc hại thông qua các ứng dụng ngân hàng từ Cửa hàng Play và Xenomorph nổi tiếng, mới tinh.
Xenomorph hoạt động thông qua cuộc tấn công lớp phủ. Phần mềm độc hại yêu cầu quyền đối với các dịch vụ hỗ trợ truy cập (luôn cẩn thận với một ứng dụng yêu cầu toàn quyền kiểm soát điện thoại thông minh của bạn!), Mở một trang web trên đầu ứng dụng để lừa người dùng nhập số nhận dạng của họ, sau đó bị phần mềm độc hại đánh cắp mà không có khả năng nhận ra rằng anh ta đang thực sự duyệt trên một màn hình kết nối giả với ứng dụng ngân hàng của anh ta.
Tệ hơn nữa, Xenomorph có khả năng chặn thông báo xác thực kép và SMS, được cho là cung cấp mã sử dụng một lần. Sau khi trojan khởi động và hoạt động, các dịch vụ nền của nó sẽ nhận các sự kiện trợ năng bất cứ khi nào người dùng thực hiện một hành động trên thiết bị. Nếu ứng dụng anh ta mở là một phần trong danh sách của Xenomorph, thì quá trình chèn lớp phủ sẽ diễn ra một lần nữa và người dùng sau đó sẽ thông báo thông tin đăng nhập của mình cho tin tặc.
Được mô tả như ” có thể mở rộng và có thể cập nhật “, Xenomorph có điều gì đó phải lo lắng, đặc biệt là vì nó vẫn còn trong giai đoạn sơ khai. Mã của nó được thiết kế theo cách mà nó có thể hỗ trợ nhiều tính năng hơn trong tương lai. Hiện tại, Tây Ban Nha, Ý, Bỉ và Bồ Đào Nha là một trong những mục tiêu ưu tiên của nó. Nhưng nó cũng ảnh hưởng đến các dịch vụ email và ví tiền điện tử.
Về cùng một chủ đề:
Phần mềm độc hại RedLine Stealer ngụy trang thành một bản cập nhật cho Windows 11
Nguồn : Đe doạ
