یک کشف اخیر توسط کارشناسان امنیتی وجود بدافزاری را آشکار کرده است که به طور خاص کاربران اندروید را در ایالات متحده، کانادا، ایتالیا، پرتغال، اسپانیا و بلژیک هدف قرار می دهد.
عاملان این تروجان بانکی بسیار پیشرفته اندرویدی که با نام Xenomorph شناخته میشوند، بیش از یک سال است که تلاشهای خود را به سمت کاربران اروپایی هدایت میکنند. با این حال، آنها اخیراً عملیات خود را گسترش داده اند تا مصرف کنندگان بیش از 25 مؤسسه مالی آمریکایی را شامل شوند.
Xenomorph بازگشته است و این تکرار حتی مرگبارتر از همیشه است. به گفته تحلیلگران، اکنون یک خطر جدی تر، به بیش از 100 اپلیکیشن مالی و ارزهای دیجیتال سرایت کرده است.
تاکتیک های فیشینگ و توزیع بدافزار
به گفته تحلیلگران شرکت امنیت سایبری ThreatFabric که از فوریه 2022 فعالیت این بدافزار را زیر نظر دارند، کمپین فعلی Xenomorph در اواسط آگوست آغاز شد.
آخرین کمپین نویسندگان بدافزار شامل URL های فیشینگ است که کاربران را تشویق می کند مرورگرهای کروم خود را به روز کنند و APK خطرناک را دانلود کنند. این بدافزار هنوز از تکنیکهای همپوشانی برای جمعآوری دادهها استفاده میکند، اما اکنون بانکهای ایالات متحده و انواع برنامههای ارزهای دیجیتال را دنبال میکند.
تحلیلگران ThreatFabric با بهره گیری از رویه های امنیتی ضعیف اپراتور به زیرساخت میزبانی بار اپراتور بدافزار دسترسی پیدا کردند.
از امروز، ارزش بازار ارزهای دیجیتال به 1.02 تریلیون دلار رسیده است. نمودار: TradingView.com
بارگذار خصوصی این بدافزار، سارقان اطلاعات ویندوز RisePro و LummaC2، و نسخه های بدافزار اندروید Medusa و Cabassous از جمله محموله های مضر دیگری بودند که در آنجا یافتند.
یکی از ویژگیهای قابل توجه آخرین تکرار Xenomorph مربوط به ساختار پیشرفته و قابل انطباق سیستم حرکت خودکار (ATS) آن است که حرکت خودکار پول نقد را از یک دستگاه در معرض خطر به دستگاهی که توسط مهاجم کنترل میشود، تسهیل میکند.
زنومورف به دنبال بانک ها می رود
موتور ATS بدافزار Xenomorph دارای چندین ماژول است که عاملان تهدید را قادر میسازد تا کنترل دستگاههای در معرض خطر را به دست آورند و طیفی از فعالیتهای مخرب را انجام دهند.
این بدافزار مشتریان Chase، Amex، Ally، Citi Mobile، Citizens Bank، Bank of America و Discover Mobile را هدف قرار می دهد. محققان ThreatFabric نمونههای تروجان جدیدی پیدا کردند که بیت کوین، بایننس و کوینبیس را هدف قرار میدهند.
ویروس بانکی Xenomorph در اوایل سال 56، 2022 بانک اروپایی را هدف قرار داد که از فیشینگ همپوشانی صفحه استفاده می کردند. Google Play آن را به بیش از 50,000 کاربر تحویل داد.
Hadoken Security: The Malware Brains
شرکت پشت آن، "Hadoken Security" ویروس را بهبود بخشید و یک نسخه ماژولار و منعطف را در ژوئن 2022 منتشر کرد. Xenomorph یکی از 10 تروجان بانکی برتر و یک "تهدید اصلی" Zimperium تا آن زمان بود.
بسته به جمعیت شناسی، هر نمونه Xenomorph حدود صد پوشش دارد که بانک های مختلف و برنامه های ارز دیجیتال را هدف قرار می دهد.
در همین حال، کاربران باید در هنگام ارتقای مرورگرهای تلفن همراه خود احتیاط کنند، زیرا این درخواستها اغلب نرمافزارهای جاسوسی پنهان هستند.
تصویر ویژه از Bleeping Computer
منبع: https://bitcoinist.com/xenomorph-malware-attacks-us-crypto-community/