Conheça o Xenomorph, o malware Android que tem como alvo clientes de 56 bancos. Confira os detalhes dessa nova e perigosa ameaça digital.
Os trojans bancários visam roubar informações financeiras confidenciais, assumir contas, realizar transações não autorizadas e os operadores vendem os dados roubados a compradores interessados.
E, agora, um novo malware chamado Xenomorph distribuído pela Google Play Store infectou mais de 50.000 dispositivos Android para roubar informações bancárias.
Xenomorph, o malware Android que tem como alvo clientes de 56 bancos
Ainda em estágio inicial de desenvolvimento, o Xenomorph tem como alvo usuários de dezenas de instituições financeiras na Espanha, Portugal, Itália e Bélgica.
Pesquisadores da empresa de prevenção de fraudes e crimes cibernéticos ThreatFabric, analisando o Xenomorph, encontraram um código semelhante ao trojan bancário Alien.
Isso sugere que as duas ameaças estão de alguma forma conectadas: ou Xenomorph é o sucessor de Alien ou um desenvolvedor está trabalhando em ambos.
O malware Xenomorph entrou na Google Play Store por meio de aplicativos genéricos de aumento de desempenho, como o “Fast Cleaner”, que conta com 50.000 instalações.
Esses utilitários são uma isca clássica usada pelos trojans bancários, inclusive o Alien, porque sempre há interesse em ferramentas que prometem melhorar o desempenho dos dispositivos Android.
Para evitar a rejeição durante a revisão do aplicativo na Play Store, o Fast Cleaner está buscando a carga útil após a instalação, para que o aplicativo esteja limpo no momento do envio.
A ThreatFabric reconheceu o aplicativo como um membro da família de conta-gotas “Gymdrop”, descoberta pela primeira vez em novembro de 2021, e observou o envio de cargas úteis que se apresentam como Google Play, Chrome ou Bitcoin.
A funcionalidade do Xenomorph não está completa neste momento, pois o trojan está em desenvolvimento pesado.
No entanto, ainda representa uma ameaça significativa, pois pode cumprir seu objetivo de roubo de informações e visa nada menos que 56 bancos europeus diferentes.
Por exemplo, o malware pode interceptar notificações, registrar SMS e usar injeções para realizar ataques de sobreposição, de modo que já pode roubar credenciais e senhas de uso único usadas para proteger contas bancárias.
Após sua instalação, a primeira ação tomada pelo aplicativo é enviar de volta uma lista dos pacotes instalados no dispositivo infectado para carregar as sobreposições adequadas.
Para alcançar o acima, o malware solicita a concessão de permissões do Serviço de Acessibilidade na instalação e, em seguida, abusa dos privilégios para conceder a si mesmo permissões adicionais conforme necessário.
Aplicativo trojanizado solicitando permissões de acessibilidade
Aplicativo trojanizado solicitando permissões de acessibilidade (ThreatFabric)
Exemplos de comandos presentes no código, mas ainda não implementados, referem-se a funções de keylogging e coleta de dados comportamentais.
Como o relatório ThreatFabric detalha:
“Seu mecanismo de acessibilidade é muito detalhado e foi projetado com uma abordagem modular em mente. Ele contém módulos para cada ação específica exigida pelo bot e pode ser facilmente estendido para oferecer suporte a mais funcionalidades. Não seria surpreendente ver esse bot com recursos semi-ATS em um futuro muito próximo.”
Em suma, o malware pode adicionar recursos de próximo nível a qualquer momento, pois apenas pequenas implementações e modificações de código são necessárias para ativar funções extensivas de desvio de dados.
ThreatFabric avalia que Xenomorph não é uma forte ameaça no momento devido ao seu status “em desenvolvimento”. Com o tempo, porém, poderá atingir todo o seu potencial, “comparável a outros trojans modernos do Android Banking”.
Para evitar o malware Android que se esconde na Play Store, os usuários devem evitar a instalação de aplicativos que carregam promessas boas demais para ser verdade. Verificar as avaliações de outros usuários às vezes pode ajudar a evitar aplicativos maliciosos.