【安全圈】Xenomorph 歹意软件瞄准全球安卓用户正不断晋级

时间: 2023-11-02 00:58:46 |   作者: 江南官方体育网站

product description

  ThreatFabric的研究人员发现了一项向美国和世界各地的安卓用户传达Xenomorph歹意软件的新活动。2022年2月，ThreatFabric的研究人员初次发现了Xenomorph歹意软件，该歹意软件通过官方 Google Play商铺分发，装置量超越50000次。

  专家们注意到，Xenomorph在2022年期间一直在改进，并在小型活动中分发。运营商首要通过GymDropper操作分发安卓歹意软件，后来歹意代码也通过Zombinder操作分发。

  3月，专家正告称，一种新的变种被追寻为Xenomorph.C，该变种已得到非常显着改进。新变种支撑新的主动转账体系（ATS）结构，可针对400多家银行和金融组织，大多数来源于西班牙、土耳其、波兰、美国、澳大利亚、加拿大、意大利、葡萄牙、法国、德国、阿联酋和印度。

  这个新版别的歹意软件为现已功用丰厚的Android Banker添加了许多新功用，最有目共睹的是引入了一个由辅佐功用服务供给支撑的非常遍及的运行时引擎，完结了一个完好的ATS结构。有了这些新功用，Xenomorph现在可以彻底主动化完结从感染到资金流出的整个诈骗链，使其成为流转中最先进、最风险的安卓歹意软件特洛伊木马之一。

  此外，ThreatFabric辨认的样本包括由400多家银行和金融组织组成的方针列表的装备，这中心还包括几个暗码钱银钱包，与之前的变体比较增加了6倍多，包括来自各大洲的金融组织。

  ATS结构答应运营商主动过滤凭证、查看账户余额、进行买卖和从方针应用程序中盗取资金，而无需运营商进行人工交互。

  2023年8月，ThreatFabric发现了运用互联网垂钓网页分发的新样本，这些网页旨在拐骗收件人装置歹意APK。方针列表比曾经的版别大。该列表为来自美国、葡萄牙和多个加密钱包的组织添加了数十个新的覆盖层。还针对西班牙、葡萄牙、意大利、加拿大和比利时的用户。

  这场最新的活动还增加了很多来自美国的金融组织，以及多个加密钱包应用程序，每个样本总共有100多个不同的方针，每个方针都运用特制的覆盖层从受害者受感染的设备中盗取名贵的PII。歹意软件是通过假充Chrome更新的网络垂钓页面发布的。

  在查询该活动时，研究人员注意到，要挟行为者犯了一个重要过错，即无限制地暴露了包括分发歹意软件所需文件的服务器文件夹。这使得研究人员可以监控服务器，辨认出多个文件。其间一个名为count.txt的文件包括一个条目列表（IP、用户署理和日期），这些条目是企图下载网络垂钓页面有用负载的方针体系的列表。大部分下载来自西班牙。

  Xenomorph的新样本没有对之前的迭代进行严重修正。这些示例支撑防睡觉功用和“模仿”功用。后一个功用为歹意软件供给了充任任何其他应用程序的选项，并删除了一般与歹意软件相关的行为。

  最新示例中的另一个新功用是“ClickOnPoint”，它答应歹意软件模仿特定屏幕坐标下的点击。

  陈述总结道：“通过数月的中止，Xenomorph又回来了，这一次的分销活动针对的是他们感兴趣的一些区域，如西班牙或加拿大，并增加了一大批来自美国的方针，以及多个新的加密钱包。Xenomorph保持着极端风险的安卓银行歹意软件的位置，其特点是有很通用和强壮的ATS引擎，现已创建了多个模块，并支撑多个制造商的设备。”