本月早些時(shí)候,ThreatFabric 安全研究人員發(fā)現(xiàn)了一個(gè)危險(xiǎn)程度很高的新木馬 -- Xenomorph。該木馬和 2020 年秋季開(kāi)始流行的 Alien 惡意軟件存在關(guān)聯(lián)。雖然相關(guān)代碼和 Alien 相似,但是 Xenomorph 惡意軟件的破壞力要強(qiáng)得多。
據(jù) ThreatFabric 稱,超過(guò) 5 萬(wàn)名 Android 用戶安裝了一個(gè)包含銀行應(yīng)用程序惡意軟件的惡意應(yīng)用程序。據(jù)報(bào)道,該惡意軟件背后的威脅者正針對(duì)歐洲 56 家不同銀行的用戶。
正如 ThreatFabric 所指出的,黑客們總是在尋找新的方法,通過(guò) Google Play 商店分發(fā)惡意軟件。Google 正在反擊,但黑客似乎總是領(lǐng)先一步。最近的一個(gè)邪惡的例子是“Fast Cleaner”應(yīng)用程序。它聲稱能夠通過(guò)清除雜亂無(wú)章的東西來(lái)加快 Android 手機(jī)的速度。但實(shí)際上,F(xiàn)ast Cleaner 是 Xenomorph 銀行應(yīng)用程序惡意軟件的一個(gè)投放器。
以下是 ThreatFabric 分析該應(yīng)用程序后發(fā)現(xiàn)的情況:
"經(jīng)過(guò)分析,我們認(rèn)識(shí)到這個(gè)應(yīng)用程序?qū)儆?Gymdrop 投放器系列。Gymdrop 是 ThreatFabric 在 2021 年 11 月發(fā)現(xiàn)的一個(gè)投放器家族。之前它被觀察到部署了 Alien.A 的有效載荷。
從該投放器下載的配置中,ThreatFabric 能夠確認(rèn)該投放器家族繼續(xù)采用該惡意軟件家族作為其有效載荷。然而,與過(guò)去不同的是,托管惡意代碼的服務(wù)器還包含另外兩個(gè)惡意軟件家族,根據(jù)特定的觸發(fā)器,它們也被返回,而不是 Alien。
ThreatFabric 說(shuō),Xenomorph仍在開(kāi)發(fā)中,但破壞力已經(jīng)顯現(xiàn)。該惡意軟件的主要目標(biāo)是使用覆蓋式攻擊來(lái)竊取銀行應(yīng)用程序的憑證。它還可以攔截短信和通知,以記錄和使用 2FA 令牌。ThreatFabric 還指出,Xenomorph 被設(shè)計(jì)成“可擴(kuò)展和可更新的”。
ThreatFabric 的安全研究人員在文章中表示:“這種惡意軟件的記錄能力所存儲(chǔ)的信息非常廣泛。如果發(fā)回 C2 服務(wù)器,可用于實(shí)施鍵盤(pán)記錄,以及收集受害者和已安裝應(yīng)用程序的行為數(shù)據(jù),即使它們不屬于目標(biāo)列表”。
文章轉(zhuǎn)載自cnBeta.COM