Une découverte récente par des experts en sécurité a révélé l'existence d'un malware ciblant spécifiquement les utilisateurs d'Android aux États-Unis, au Canada, en Italie, au Portugal, en Espagne et en Belgique.
Connu sous le nom de Xenomorph, les auteurs de ce cheval de Troie bancaire Android très avancé orientent depuis plus d'un an leurs efforts vers les utilisateurs européens. Cependant, ils ont récemment étendu leurs opérations pour inclure les consommateurs de plus de 25 institutions financières américaines.
Le Xénomorphe est de retour, et cette itération est encore plus meurtrière que jamais. Selon les analystes, il s'agit désormais d'un danger plus grave, qui s'est propagé à plus de 100 applications financières et de crypto-monnaie.
Tactiques de phishing et distribution de logiciels malveillants
La campagne actuelle de Xenomorph a débuté à la mi-août, selon les analystes de la société de cybersécurité ThreatFabric, qui surveillent l'activité du malware depuis février 2022.
La dernière campagne des auteurs de logiciels malveillants implique des URL de phishing qui encouragent les utilisateurs à mettre à jour leur navigateur Chrome et à télécharger le dangereux APK. Le malware utilise toujours des techniques de superposition pour collecter des données, mais il s’attaque désormais aux banques américaines et à diverses applications de crypto-monnaie.
Les analystes de ThreatFabric ont eu accès à l'infrastructure d'hébergement des charges utiles de l'opérateur de logiciels malveillants en profitant des procédures de sécurité laxistes de l'opérateur.
À ce jour, la capitalisation boursière des crypto-monnaies s'élevait à 1.02 billion de dollars. Graphique : TradingView.com
Le Private Loader du malware, les voleurs d'informations Windows RisePro et LummaC2 et les versions de malware Android Medusa et Cabassous figuraient parmi les autres charges utiles nuisibles qu'ils y ont trouvées.
Une caractéristique remarquable de la dernière itération de Xenomorph concerne sa structure avancée et adaptable de système de mouvement automatique (ATS), qui facilite le mouvement automatisé d'argent liquide d'un appareil compromis vers un appareil contrôlé par un attaquant.
Xénomorphe s'en prend aux banques
Le moteur ATS du malware Xenomorph dispose de plusieurs modules qui permettent aux acteurs malveillants de prendre le contrôle des appareils compromis et de mener diverses activités malveillantes.
Le malware cible les consommateurs Chase, Amex, Ally, Citi Mobile, Citizens Bank, Bank of America et Discover Mobile. Les chercheurs de ThreatFabric ont découvert de nouveaux échantillons de chevaux de Troie ciblant Bitcoin, Binance et Coinbase.
Le virus bancaire Xenomorph a ciblé 56 banques européennes en utilisant le phishing par superposition d'écran début 2022. Google Play l'a livré à plus de 50,000 XNUMX utilisateurs.
Hadoken Security : les cerveaux des logiciels malveillants
La société à l’origine de ce virus, « Hadoken Security », a amélioré le virus et a publié une version modulaire et flexible en juin 2022. Xenomorph était alors l’un des 10 principaux chevaux de Troie bancaires et une « menace majeure » de Zimperium.
En fonction du groupe démographique, chaque échantillon Xenomorph comporte une centaine de superpositions qui ciblent diverses banques et applications de crypto-monnaie.
En attendant, les utilisateurs doivent faire preuve de prudence lorsqu’ils sont invités à mettre à jour leurs navigateurs mobiles, car ces demandes sont souvent des logiciels espions cachés.
Image en vedette de Bleeping Computer
Source : https://bitcoinist.com/xenomorph-malware-attacks-us-crypto-community/