官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
据Security Affairs消息,荷兰安全公司Threat Fabric的研究人员发现了一种名为 Xenomorph的新 Android 银行木马,目前已通过谷歌官方应用商店官方 Google Play下载安装了超5万次。
Xenomorph正对欧洲56家银行的用户下手,从受感染的设备中收集敏感信息。对其代码的分析显示还存在尚未实现的功能和大量的日志记录,这表明Xenomorph仍在积极开发中。
安全研究人员认为,Xenomorph与另一款名叫Alien的银行木马在功能上虽有不同,但也存在颇多相似之处,推测这两种恶意软件可能是由同一开发者所为。Alien 于 2020 年 9 月被 Threat Fabric 发现,是一种远程访问木马 (RAT),具有通知嗅探和基于身份验证器的 2FA 盗窃功能。Xenomorph 与 Alien 一样,能够绕过 Google Play 商店实施的安全保护,研究人员在官方商店中发现它伪装成生产力应用程序,例如“Fast Cleaner”。
ThreatFabric在分析报告中表示,一旦恶意软件在设备上启动并运行,就能滥用辅助功能服务来记录设备上发生的一切便,如果用户打开的应用程序是所针对的银行类应用,Xenomorph将触发覆盖注入,并显示一个冒充的WebView活动。此外,Xenomorph还具备通知拦截功能,能够提取通过短信收到的双因素验证码。
研究人员说:“Xenomorph 的出现再次表明,威胁行为者正在将注意力集中在登陆官方市场的应用程序上。” “犯罪分子正采用更精细的策略来开发应用,使如今针对银行的恶意软件正在快速发展。”
参考来源:https://securityaffairs.co/wordpress/128253/malware/xenomorph-android-banking-trojan.html