ظهر نوع جديد من حصان طروادة Android المصرفي المسمى Xenomorph في البرية ، كشفت أحدث النتائج من ThreatFabric.
سميت " Xenomorph 3rd جيل " من قبل Hadoken Security Group ، الفاعل المهدد وراء العملية ، تأتي النسخة المحدثة مع ميزات جديدة تسمح لها بالقيام بالاحتيال المالي بطريقة سلسة.
"يضيف هذا الإصدار الجديد من البرنامج الضار العديد من الإمكانات الجديدة لمصرفي Android غني بالميزات بالفعل ، وأبرزها تقديم محرك وقت تشغيل مكثف للغاية مدعوم بخدمات إمكانية الوصول ، والذي يستخدمه الممثلون لتنفيذ إطار عمل ATS كامل ، " .
ظهر Xenomorph لأول مرة قبل عام في فبراير 2022 ، عندما وجد أنه يستهدف 56 بنكًا أوروبيًا من خلال تطبيقات Dropper المنشورة على متجر Google Play.
في المقابل ، تم تصميم أحدث نسخة للمصرفي - الذي لديه موقع ويب مخصص للإعلان عن ميزاته - لاستهداف أكثر من 400 مؤسسة مصرفية ومالية ، بما في ذلك العديد من محافظ العملات المشفرة.
.webp)
قالت ThreatFabric إنها اكتشفت عينات من البرامج الضارة الموزعة عبر Discord's Content Delivery Network (CDN) ، وهي تقنية شهدت طفرة منذ عام 2020. اثنان من تطبيقات Xenomorph-laced مدرجة أدناه -
- Play Protect (com.great.calm)
- Play Protect (الجدارة. الله.presser)
وأوضح ThreatFabric أن "Xenomorph v3 يتم نشره بواسطة تطبيق Zombinder" مرتبط "بمحول عملات شرعي ، والذي يتم تنزيله باعتباره" تحديثًا "لتطبيق يتظاهر بأنه Google Protect".
يشير Zombinder إلى خدمة ربط APK يتم الإعلان عنها على شبكة الإنترنت المظلمة والتي تسمح لمجرمي الإنترنت بتقديم برامج ضارة عبر إصدارات طروادة من التطبيقات الشرعية. تم إغلاق العرض منذ ذلك الحين.
تتجاوز أهداف الحملة الأخيرة تركيزها الأوروبي (أي إسبانيا وإيطاليا والبرتغال) لتشمل الكيانات المالية البلجيكية والكندية.
من المعروف أن Xenomorph ، مثل البرامج الضارة المصرفية الأخرى ، تسيء استخدام خدمات إمكانية الوصول للقيام بالاحتيال من خلال هجمات التراكب . كما أنه يحتوي على إمكانات لإكمال المعاملات الاحتيالية تلقائيًا على الأجهزة المصابة ، وهي تقنية تسمى نظام النقل الآلي (ATS).
.png)
مع انتقال البنوك من الرسائل القصيرة للمصادقة الثنائية (2FA) إلى تطبيقات المصادقة ، يشتمل Xenomorph trojan على وحدة ATS تسمح له بتشغيل التطبيق واستخراج أكواد المصادقة.
تتميز البرامج الضارة التي تعمل بنظام Android بوظائف سرقة ملفات تعريف الارتباط ، مما يمكّن الجهات المهددة من تنفيذ هجمات الاستيلاء على الحساب.
وقالت الشركة: "مع هذه الميزات الجديدة ، أصبح Xenomorph قادرًا الآن على أتمتة سلسلة الاحتيال بالكامل ، من العدوى إلى تهريب الأموال ، مما يجعلها واحدة من أكثر برامج طروادة Android الضارة تقدمًا وخطورة".