Xenomorph Android Malware

Un puissant cheval de Troie bancaire Android a réussi à s'infiltrer dans le Google Play Store et à infecter plus de 50 000 appareils, bien qu'il soit encore en cours de développement. La menace est suivie sous le nom de Xenomorph Android Malware par les experts de ThreatFabric, qui ont analysé son code sous-jacent et ses fonctionnalités. Selon leurs conclusions, l'objectif principal de Xenomorph est de collecter des informations bancaires sensibles auprès de ses victimes et bien qu'il ne soit pas entièrement achevé, il est déjà capable de cibler 56 banques de pays à travers l'Europe.

Il convient de noter que la menace partage certaines similitudes de code avec un autre cheval de Troie bancaire nommé Alien. Ce fait pourrait signifier que Xenomorph est une continuation de la menace Alien précédente ou qu'un développeur a travaillé sur les deux.

Distribution et fonctionnalité

Pour contourner les protections du Google Play Store officiel, les cybercriminels derrière Xenomorph ont utilisé une application de compte-gouttes dédiée qui est classée dans la famille des compte-gouttes « Gymdrop », qui a été découverte pour la première fois en novembre 2021. L'application a été nommée « Fast Cleaner ». ' et a essayé d'attirer les utilisateurs avec des promesses d'améliorer les performances de leurs appareils Android. L'applicationLa lication elle-même ne contient aucune charge utile menaçante - elle ne récupère le cheval de Troie Xenomorph qu'après avoir été installée sur l'appareil de la victime.

Une fois à l'intérieur, le logiciel malveillant demande à recevoir les autorisations du service d'accessibilité, dont il abuse ensuite rapidement pour obtenir encore plus d'autorisations sur l'appareil. En fin de compte, la menace pourra intercepter les notifications, les messages SMS et effectuer des attaques par superposition. En bref, la menace peut obtenir des informations d'identification et des mots de passe à usage unique lui permettant de compromettre les comptes bancaires et financiers de la victime.

Les experts en cybersécurité s'attendent à ce que Xenomorph continue d'évoluer. En effet, l'approche modulaire adoptée par ses développeurs leur permet d'ajouter facilement des fonctionnalités plus invasives. Même maintenant, la menace a plusieurs commandes faisant référence à des routines d'enregistrement de frappe et à des capacités de collecte de données supplémentaires qui n'ont pas été entièrement mises en œuvre.