Un descubrimiento reciente realizado por expertos en seguridad ha revelado la existencia de un malware dirigido específicamente a usuarios de Android en EE. UU., Canadá, Italia, Portugal, España y Bélgica.
Los autores de este avanzado troyano bancario para Android, conocidos como Xenomorph, llevan más de un año dirigiendo sus esfuerzos a los usuarios europeos. Sin embargo, recientemente han ampliado sus operaciones para incluir a consumidores de más de 25 instituciones financieras estadounidenses.
El Xenomorfo ha regresado y esta iteración es aún más letal que nunca. Ahora es un peligro más grave y se ha extendido a más de 100 aplicaciones financieras y de criptomonedas, según los analistas.
Tácticas de phishing y distribución de malware
La actual campaña de Xenomorph comenzó a mediados de agosto, según analistas de la firma de ciberseguridad ThreatFabric, que han estado monitoreando la actividad del malware desde febrero de 2022.
La última campaña de los autores de malware involucra URL de phishing que alientan a los usuarios a actualizar sus navegadores Chrome y descargar el peligroso APK. El malware todavía utiliza técnicas de superposición para recopilar datos, pero ahora apunta a bancos estadounidenses y una variedad de aplicaciones de criptomonedas.
Los analistas de ThreatFabric obtuvieron acceso a la infraestructura de alojamiento de carga útil del operador de malware aprovechando los laxos procedimientos de seguridad del operador.
A día de hoy, la capitalización de mercado de las criptomonedas se sitúa en 1,02 billones de dólares. Gráfico: TradingView.com
El cargador privado del malware, los ladrones de información de Windows RisePro y LummaC2, y las versiones de malware de Android Medusa y Cabassous se encontraban entre otras cargas dañinas que encontraron allí.
Una característica notable de la última versión de Xenomorph se refiere a su estructura avanzada y adaptable del Sistema de movimiento automático (ATS), que facilita el movimiento automatizado de efectivo desde un dispositivo comprometido a uno controlado por un atacante.
Xenomorph va tras los bancos
El motor ATS del malware Xenomorph tiene varios módulos que permiten a los actores de amenazas obtener control sobre los dispositivos comprometidos y llevar a cabo una variedad de actividades maliciosas.
El malware se dirige a los consumidores de Chase, Amex, Ally, Citi Mobile, Citizens Bank, Bank of America y Discover Mobile. Los investigadores de ThreatFabric encontraron nuevas muestras de troyanos dirigidos a Bitcoin, Binance y Coinbase.
El virus bancario Xenomorph atacó a 56 bancos europeos mediante phishing de superposición de pantalla a principios de 2022. Google Play lo entregó a más de 50.000 usuarios.
Seguridad de Hadoken: los cerebros del malware
La empresa detrás de esto, “Hadoken Security”, mejoró el virus y lanzó una versión modular y flexible en junio de 2022. Xenomorph era uno de los 10 principales troyanos bancarios y una “gran amenaza” de Zimperium para entonces.
Dependiendo del grupo demográfico, cada muestra de Xenomorph tiene alrededor de cien superposiciones dirigidas a varios bancos y aplicaciones de criptomonedas.
Mientras tanto, los usuarios deben tener cuidado cuando se les pide que actualicen sus navegadores móviles, ya que estas solicitudes suelen ser software espía oculto.
Imagen destacada de Bleeping Computer