Xenomorph Android Malware

Ein potenter Android-Banking-Trojaner hat es geschafft, den Google Play Store zu infiltrieren und über 50.000 Geräte zu infizieren, obwohl er sich noch in der Entwicklung befindet. Die Bedrohung wird von den Experten von ThreatFabric, die den zugrunde liegenden Code und die zugrunde liegenden Funktionen analysiert haben, als Xenomorph Android Malware verfolgt. Ihren Erkenntnissen zufolge besteht das Hauptziel von Xenomorph darin, sensible Bankinformationen von seinen Opfern zu sammeln, und obwohl es noch nicht vollständig abgeschlossen ist, ist es bereits in der Lage, 56 Banken aus Ländern in ganz Europa anzugreifen.

Es sei darauf hingewiesen, dass die Bedrohung bestimmte Code-Ähnlichkeiten mit einem anderen Banking-Trojaner namens Alien aufweist. Diese Tatsache könnte bedeuten, dass Xenomorph eine Fortsetzung der vorherigen Alien-Bedrohung ist oder dass ein Entwickler an beiden gearbeitet hat.

Verteilung und Funktionalität

Um den Schutz des offiziellen Google Play Store zu umgehen, verwendeten die Cyberkriminellen hinter Xenomorph eine dedizierte Dropper-Anwendung, die als Teil der Dropper-Familie „Gymdrop“ klassifiziert wird, die erstmals im November 2021 entdeckt wurde. Die Anwendung hieß „Fast Cleaner“ und versucht, Benutzer mit dem Versprechen anzulocken, die Leistung ihrer Android-Geräte zu steigern. Die Anwendung selbst enthält keine bedrohlichen Payloads – sie ruft den Xenomorph-Trojaner erst ab, nachdem sie auf dem Gerät des Opfers installiert wurde.

Sobald die Malware drinnen ist, fordert sie Zugriffsberechtigungen an, die sie dann umgehend missbraucht, um noch mehr Berechtigungen auf dem Gerät zu erhalten. Letztendlich wird die Bedrohung in der Lage sein, Benachrichtigungen und SMS-Nachrichten abzufangen und Overlay-Angriffe durchzuführen. Kurz gesagt, die Bedrohung kann Zugangsdaten und Einmalpasswörter erhalten, die es ihr ermöglichen, die Bank- und Finanzkonten des Opfers zu kompromittieren.

Experten für Cybersicherheit gehen davon aus, dass sich Xenomorph weiterentwickeln wird. Der modulare Ansatz der Entwickler ermöglicht es ihnen tatsächlich, auf einfache Weise invasivere Funktionen hinzuzufügen. Schon jetzt verfügt die Bedrohung über mehrere Befehle, die sich auf Keylogging-Routinen und zusätzliche Datenerfassungsfunktionen beziehen, die noch nicht vollständig implementiert sind.