I ricercatori di ThreatFabric avevano scoperto Xenomorph a febbraio 2022. La prima versione del trojan bancario per Android poteva intercettare le credenziali di login ai conti correnti di circa 56 banche. Dopo circa un anno è apparsa online la versione 3.0 con nuove funzionalità e un numero maggiore di target.
Xenomorph 3.0 colpisce oltre 400 banche
Xenomorph 3.0 sfrutta un framework ATS (Automated Transfer System) completo che permette di automatizzare l’intera catena di infezione, dall’accesso iniziale alla sottrazione dei fondi dal conto corrente. Il trojan viene distribuito sul Google Play Store mediante la piattaforma Zoombinder che associa il malware ad un’app per la conversione di criptovalute.
La tecnica usata è sempre “overlay attack”, ovvero sovrappone a quella reale una seconda schermata identica nell’aspetto, in cui l’ignaro utente inserisce le credenziali di login che vengono inviate ai cybercriminali. Dato che molti istituti bancari hanno abbandonato l’uso dei codici OTP via SMS, la nuova versione del malware può accedere alle app di autenticazione. Può inoltre rubare i cookie di sessione e prendere il controllo dell’account.
Il malware è modulare, quindi vengono aggiunte funzionalità ad ogni nuova versione. Secondo gli esperti di ThreatFabric è uno dei più avanzati e pericolosi trojan bancari per Android in circolazione. Il numero di banche “supportate” è aumentato da 56 a oltre 400 (19 in Italia). Può anche accedere a 13 wallet di criptovalute, tra cui quelli di Binance, Coinbase e MetaMask.