Xenomorph, birkaç ABD ve İspanya kurumunu hedef alan yeni bir kötü amaçlı yazılım kampanyasıyla keşfedildi. Bu yeni kampanya, kurbanlar tarafından indirilen binlerce Xenomorph kötü amaçlı yazılımını gösteriyor.
Xenomorph, Şubat 2022’de Threat Fabric tarafından keşfedilen bir Android kötü amaçlı yazılımıdır. Önceki kötü amaçlı yazılım kampanyalarına göre, bu Android kötü amaçlı yazılımı, kimlik avı web sayfaları kullanılarak dağıtılarak, kurbanları kötü amaçlı APK’lar yüklemeleri için kandırıyordu.
Bununla birlikte, ABD, Portekiz ve birden fazla kripto cüzdanındaki çeşitli kurumlara ait yeni bir kurban listesi tespit edildi ve bu durum, bankacılık kötü amaçlı yazılım ailesinde tutarlılık olduğunu gösteriyor.
Xenomorph Android Kötü Amaçlı Yazılım
Xenomorph kötü amaçlı yazılımı, basit bir SMS manipülasyonu gerçekleştirme yeteneğine sahiptir ve Uzaktan erişim yeteneklerinin elde ettiği çok güçlü bir Otomatik Aktarım Sistemi (ATS) çerçevesinin kullanılması nedeniyle tam cihaz kontrolüne kadar gidebilir. Kötü amaçlı yazılım, ek işlevler için geliştiricileri tarafından sürekli olarak yeni özelliklerle eklenmektedir.
Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir
Ücretsiz demo
Xenomorph, kullanıcı adları, şifreler, kredi kartı numaraları ve çok daha fazlasını içeren Kişisel Olarak Tanımlanabilir Bilgileri (PII) elde etmek için birincil yöntem olarak “yer paylaşımı”nı kullanır. Yeni işlevler de dahil olmak üzere Xenomorph’ta bulunan modüller aşağıda listelenmiştir.
| MODÜL ADI | TANIM |
| bildirimErişim | Bildirim erişimi ver |
| izinler ver | Gerekli tüm izinleri otomatik olarak kendisine verir |
| dozeModeDisableTypeA | Doze modunu devre dışı bırakın (Xiaomi MIUI) – sürüm 1 |
| dozeModeDisableTypeB | Doze modunu devre dışı bırakın (Xiaomi MIUI) – sürüm 2 |
| dozeModeDisableTypeC | Doze modunu devre dışı bırakın (Xiaomi MIUI) – sürüm 3 |
| dozeModeDisableTypeD | Doze modunu devre dışı bırakın (Xiaomi MIUI) – sürüm 4 |
| PlayProtect’i devre dışı bırak | Play Korumayı Devre Dışı Bırak |
| xiaomiYönetici Erişimi | Yönetici Erişimini Alın Xiaomi |
| kısıtlamaUninstall_SamsungApi29 | API 29 (Android 10) kullanarak Samsung’da kaldırma prosedürünü durdurun |
| kapatSettingsAlerts_Generic | Ayarlar Uyarılarını Kapat |
| kısıtlamaReset_Generic | Cihaz sıfırlamayı durdur |
| kısıtlamaReset_ByContentVid_SamsungApi30 | API 30’u (Android 11) kullanarak Samsung’da cihazın sıfırlanmasını durdurun |
| kısıtlamaUninstall_ByClassName | Sınıf adına göre kaldırma prosedürünü durdurun |
| kısıtlamaUninstall_Generic | Kaldırma prosedürünü durdur |
| kısıtlamaErişilebilirlikDisable_Generic | Erişilebilirlik Hizmetleri ayrıcalıklarının devre dışı bırakılmasını durdurun |
| kısıtlamaAdminRetrieve_XiaomiApi30 | API 30 (Android 11) kullanarak Xiaomi’de Yönetici alımını kısıtlayın |
| kısıtlamaSettingsClicks_Generic | Ayarlarda tıklamaları kısıtlayın |
| defaultSmsApp Uyarısı | Varsayılan SMS ayarlarına sahip arayüz Uyarı |
| defaultSmsApp-Rol Değişikliği Önleme | Varsayılan SMS Rolünün kaldırılmasını önle |
| defaultSmsApp Rolü | Varsayılan SMS rolünü edinin |
| defaultSmsApp-Ayarlar | Varsayılan SMS İşleyicisi Olarak Ayarla |
| grantSystemWritePermissions | Sisteme yazma izinleri verir |
| Google2FA’yı edinin | Google Authenticator 2FA kodlarını alır |
| grantWriteStoragePermissions | Yazma depolama izinleri verir (yeni işlevsellik) |
Bu yeni kötü amaçlı yazılımla ilgili daha ayrıntılı araştırmalar, tehdit aktörlerinin Samsung ve Xiaomi cihazları tarafından desteklenen çeşitli modüller eklediğini ve bu modüllerin tüm Android pazar payının %50’sine katkıda bulunduğunu ortaya çıkardı.
Yeni Yetenekler
Xenomorph’un önceki sürümlerinden birkaç ek komut eklenmiştir. Yeni komutlar start_mimic (Mimik İşlevini Başlat), stop_mimic (Taklit İşlevini Durdur), show_push (Uyku önleme anında bildirimini etkinleştir) ve noktaya tıklama (belirli koordinatlara dokunma simülasyonu) idi. Bu taklit işlevi, kötü amaçlı yazılımın başka herhangi bir uygulama gibi davranmasına ve önceki sürümde bulunmayan kötü amaçlı yazılıma özgü bir davranışı ortadan kaldırmasına olanak tanır.
Ayrıca, bu kötü amaçlı yazılımın, bazı yaygın Masaüstü hırsızı kötü amaçlı yazılımlar olan Özel Yükleyici izlerine sahip RisePro hırsızıyla birleştiği de tespit edildi. Ayrıca Xenomorph’un yeni sürümü, bir başka iyi bilinen hırsız olan LummaC2’yi de kullanıyor.
Ayrıca, C2 ile iletişim güncellendi ve HTTP, komutların alınması ve veri sızdırılması için 50500 numaralı bağlantı noktası üzerinden ham TCP soketleriyle değiştirildi.
Kötü amaçlı yazılım, dağıtım, kod analizi, C2 iletişimi, eski hedefleri, yeni işlevler ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan Threat Fabric tarafından eksiksiz bir rapor yayınlandı.
Uzlaşma Göstergeleri
Ksenomorf Örnekleri
| HASH (SHA256) | UYGULAMA İSMİ | PAKET İSMİ |
| e2646afca109162f66b117ca8a7feed0272ab6d8822132dafd2d54d7553cbfde | Krom | com.peace.frequent |
| 259e88f593a3df5cf14924eec084d904877953c4a78ed4a2bc9660a2eaabb20b | Krom | com.mtnyrvojt.qtbxtwjnq |
| 257f041d1b6ed82808cd8ef07ec84cf141c38e5374b654de46879a3bc180c79c | Krom | com.uhtvqsutg.igogiciut |
Xenomorph C2 sunucuları
| SUNUCU URL’si/IP’si | ROLÜ |
| havayolu simülatörü[.]io | Yer Paylaşımı Sunucusu |
| fobocontentplus[.]çevrimiçi | C2 Sunucusu |
| fobocontentplus[.]tepe | C2 Sunucusu |
| fobocontentplus[.]alan | C2 Sunucusu |
| 92 litre[.]bilgi | Kimlik Avı Sunucusu |
850’den fazla üçüncü taraf uygulamaya hızla yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.