最近,来自ThreatFabric的研究人员发现了一种名为Xenomorph的新型Android银行木马,它通过官方GooglePlay商店分发,安装量超过50,000。银行木马已经攻击了56家欧洲银行并窃取了客户设备中的敏感信息。代码分析揭示了未实现的功能和大量的日志记录,这种情况表明这种威胁正在积极开发中。详情Xenomorph与Alien银行木马有重叠之处,但其功能与Alien完全不同。研究人员推测这两种恶意软件可能是由同一人开发的,或者至少是由熟悉外星人银行木马代码库的人开发的。2020年9月由ThreatFabric发现,Alien实施了多项功能,使其能够从226个应用程序中窃取凭据。Alien行动提供恶意软件即服务(MaaS),并在几个地下黑客论坛上做广告。据研究人员称,Alien借用了Cerberus恶意软件的部分源代码。ThreatFabric指出,Cerberus运营商正试图出售他们的项目,因为由于犯罪团伙内部开发团队的缺陷,恶意软件中的几个问题长期以来一直没有得到解决。解决问题的延迟使GooglePlayProtect能够检测到所有受感染设备上的威胁。Alien没有受到同样问题的影响,这就是它的MaaS模式成功的原因。Alien被认为是下一代银行木马,它还在其代码库中实现了远程访问功能。Xenomorph和Alien一样,能够绕过GooglePlay商店实施的安全保护,研究人员发现它在官方商店中伪装成生产力应用程序,例如“FastCleaner”。FastCleaner(vizeeva.fast.cleaner)仍可在Play商店中使用,对叠加层的分析表明,Xenomorph是为西班牙、葡萄牙、意大利和比利时的用户开发的,以及一些通用应用程序,如电子邮件服务和加密货币钱包。Xenomorph利用由辅助功能服务权限提供支持的经典覆盖攻击作为攻击向量。一旦恶意软件在设备上启动并运行,它的后台服务就会在设备上发生新情况时接收可访问性事件。如果打开的应用程序是目标列表的一部分,Xenomorph将触发覆盖注入并显示一个WebViewActivity冒充目标包。以下是触发器覆盖的一些示例。此外,恶意软件能够滥用辅助功能服务来记录设备上发生的一切。在撰写本文时,收集的所有信息仅显示在本地设备日志中,但在未来只需非常小的修改就足以为恶意软件添加键盘记录和可访问性日志记录功能。Xenomorph显示了骗子对使用GooglePlay商店传播恶意软件的兴趣,以及他们为绕过Google实施的安全检查所做的不懈努力。Xenomorph的出现再次表明威胁行为者正专注于在官方市场上登陆应用程序。考虑到我们最近观察到Medusa和Kabassus也同时发布,这也是滴管和分销商地下市场活动增加的迹象。Xenomorph目前是一种通用的Android银行木马,具有许多尚未开发的潜力,即将发布。现代银行恶意软件正在以非常快的速度发展,犯罪分子开始采用更精细的开发实践来支持未来的更新。Xenomorph处于这一变化的最前沿。
