Eine aktuelle Entdeckung von Sicherheitsexperten hat die Existenz einer Malware aufgedeckt, die speziell auf Android-Benutzer in den USA, Kanada, Italien, Portugal, Spanien und Belgien abzielt.
Die als Xenomorph bekannten Täter dieses hochentwickelten Android-Banking-Trojaners richten ihre Angriffe seit mehr als einem Jahr konsequent auf europäische Nutzer. Allerdings haben sie ihre Geschäftstätigkeit kürzlich auf Verbraucher von über 25 amerikanischen Finanzinstituten ausgeweitet.
Der Xenomorph ist zurückgekehrt und diese Version ist noch tödlicher als je zuvor. Analysten zufolge ist die Gefahr inzwischen größer geworden und hat sich auf mehr als 100 Finanz- und Kryptowährungs-Apps ausgeweitet.
Phishing-Taktiken und Malware-Verbreitung
Laut Analysten des Cybersicherheitsunternehmens ThreatFabric, das die Aktivitäten der Malware seit Februar 2022 überwacht, begann die aktuelle Xenomorph-Kampagne Mitte August.
Die neueste Kampagne der Malware-Autoren beinhaltet Phishing-URLs, die Benutzer dazu ermutigen, ihren Chrome-Browser zu aktualisieren und die gefährliche APK herunterzuladen. Die Malware verwendet immer noch Overlay-Techniken, um Daten zu sammeln, aber jetzt hat sie es auf US-Banken und eine Vielzahl von Kryptowährungs-Apps abgesehen.
ThreatFabric-Analysten verschafften sich Zugriff auf die Payload-Hosting-Infrastruktur des Malware-Betreibers, indem sie die laxen Sicherheitsverfahren des Betreibers ausnutzten.
Heute beträgt die Marktkapitalisierung von Kryptowährungen 1.02 Billionen US-Dollar. Diagramm: TradingView.com
Zu den weiteren schädlichen Payloads, die sie dort fanden, gehörten der Private Loader der Malware, die Windows-Informationsdiebe RisePro und LummaC2 sowie die Android-Malware-Versionen Medusa und Cabassous.
Ein bemerkenswertes Merkmal der neuesten Version von Xenomorph ist die fortschrittliche und anpassungsfähige ATS-Struktur (Automatic Movement System), die den automatisierten Transfer von Bargeld von einem kompromittierten Gerät zu einem von einem Angreifer kontrollierten Gerät ermöglicht.
Xenomorph hat es auf Banks abgesehen
Die ATS-Engine der Xenomorph-Malware verfügt über mehrere Module, die es Bedrohungsakteuren ermöglichen, die Kontrolle über kompromittierte Geräte zu erlangen und eine Reihe bösartiger Aktivitäten auszuführen.
Die Malware zielt auf Verbraucher von Chase, Amex, Ally, Citi Mobile, Citizens Bank, Bank of America und Discover Mobile ab. ThreatFabric-Forscher haben neue Trojaner-Samples gefunden, die auf Bitcoin, Binance und Coinbase abzielen.
Der Xenomorph-Banking-Virus zielte Anfang 56 auf 2022 europäische Banken, die Bildschirm-Overlay-Phishing einsetzten. Google Play übermittelte ihn an über 50,000 Nutzer.
Hadoken-Sicherheit: Die Malware-Gehirne
Die Firma dahinter, „Hadoken Security“, verbesserte den Virus und veröffentlichte im Juni 2022 eine modulare, flexible Version.
Je nach Bevölkerungsgruppe verfügt jedes Xenomorph-Beispiel über etwa hundert Overlays, die auf verschiedene Banken und Kryptowährungs-Apps abzielen.
In der Zwischenzeit sollten Benutzer Vorsicht walten lassen, wenn sie aufgefordert werden, ihre mobilen Browser zu aktualisieren, da es sich bei diesen Anfragen oft um versteckte Spyware handelt.
Ausgewähltes Bild von Bleeping Computer
Quelle: https://bitcoinist.com/xenomorph-malware-attacks-us-crypto-community/