ThreatFabric’in en son bulgularına göre, Xenomorph adlı Android bankacılık truva atının yeni bir çeşidi vahşi doğada ortaya çıktı.
adlı”Xenomorph 3. nesil” Operasyonun arkasındaki tehdit aktörü Hadoken Security Group tarafından hazırlanan güncellenmiş sürüm, mali dolandırıcılığı sorunsuz bir şekilde gerçekleştirmesine olanak tanıyan yeni özelliklerle birlikte geliyor.
Hollandalı, “Kötü amaçlı yazılımın bu yeni sürümü, zaten zengin özelliklere sahip bir Android bankacıya birçok yeni yetenek ekliyor; en önemlisi, aktörler tarafından eksiksiz bir ATS çerçevesini uygulamak için kullanılan Erişilebilirlik hizmetleri tarafından desteklenen çok kapsamlı bir çalışma zamanı motorunun tanıtımı.” güvenlik firması The Hacker News ile paylaşılan bir raporda söyledi.
Xenomorph ilk olarak bir yıl önce Şubat 2022’de Google Play Store’da yayınlanan dropper uygulamaları aracılığıyla 56 Avrupa bankasını hedef aldığı tespit edildiğinde gün yüzüne çıktı.
Buna karşılık, özelliklerinin reklamını yapan özel bir web sitesine sahip olan bankacının en son yinelemesi, birkaç kripto para birimi cüzdanı da dahil olmak üzere 400’den fazla bankacılık ve finans kurumunu hedeflemek üzere tasarlandı.
ThreatFabric, 2020’den beri artışa tanık olan bir teknik olan Discord’un İçerik Dağıtım Ağı (CDN) aracılığıyla dağıtılan örnekleri tespit ettiğini söyledi. Xenomorph bağlantılı uygulamalardan ikisi aşağıda listelenmiştir –
- Play Protect (com.great.calm)
- Play Protect (meziyet.mollah.presser)
ThreatFabric, “Xenomorph v3, yasal bir para birimi dönüştürücüye ‘bağlı’ bir Zombinder uygulaması tarafından konuşlandırılır ve bu uygulama, Google Protect gibi görünen bir uygulamayı ‘güncelleme’ olarak indirir,” dedi.
Zombinder, Mart 2022’den beri dark web’de reklamı yapılan ve kötü amaçlı yazılımın meşru uygulamaların truva atı haline getirilmiş sürümleri aracılığıyla dağıtıldığı bir APK bağlama hizmeti anlamına gelir. Teklif o zamandan beri kapatıldı.
En son kampanyanın hedefleri, Avrupa odağının (yani İspanya, İtalya ve Portekiz) ötesine geçerek Belçika ve Kanada finansal kuruluşlarını da içeriyor.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
KOLTUĞUNUZU AYIRTIN
Bankacılık kötü amaçlı yazılımları gibi Xenomorph’un yer paylaşımlı saldırılar yoluyla dolandırıcılık gerçekleştirmek için Erişilebilirlik Hizmetlerini kötüye kullandığı bilinmektedir. Ayrıca, Otomatik Aktarım Sistemi (ATS) adı verilen bir teknikle, virüslü cihazlarda hileli işlemleri otomatik olarak tamamlama yetenekleri de içerir.
Bankaların iki faktörlü kimlik doğrulama (2FA) için SMS’ten kimlik doğrulayıcı uygulamalara geçmesiyle birlikte, Xenomorph truva atı, uygulamayı başlatmasına ve kimlik doğrulayıcı kodlarını çıkarmasına izin veren bir ATS modülü içerir.
Android kötü amaçlı yazılımı ayrıca çerez çalma işlevlerine sahiptir ve tehdit aktörlerinin hesap ele geçirme saldırıları gerçekleştirmesine olanak tanır.
Şirket, “Bu yeni özelliklerle, Xenomorph artık enfeksiyondan fon hırsızlığına kadar tüm dolandırıcılık zincirini tamamen otomatik hale getirebiliyor ve bu da onu dolaşımdaki en gelişmiş ve tehlikeli Android Kötü Amaçlı Yazılım truva atlarından biri haline getiriyor” dedi.