Xenormorph: il malware Android svuota i conti di 400 banche
Il trojan bancario Xenomorph ha combinato guai sugli smartphone Android per oltre un anno. Ora gli sviluppatori lo hanno reso ancora più pericoloso!
Nel febbraio 2022, per la prima volta sono circolate su Internet notizie su un pericoloso trojan bancario chiamato Xenomorph. Il malware si nascondeva in app Android dall'aspetto innocuo nel Google Play Store ed è specializzato nel furto di informazioni bancarie online. A quel tempo, il malware veniva scaricato circa 50.000 volte. Nella sua versione originale, il malware imitava le maschere di input di 56 banche europee e accedeva ai codici PIN ricevuti via SMS manipolando il sistema Android. Nel giugno 2022, una versione leggermente rivista di Xenomorph è apparsa sporadicamente, ma nel complesso il Trojan è rimasto in silenzio, fino ad ora.
Come afferma il sito web bleepingcomputer.com citando gli esperti di sicurezza di ThreatFabricrapporti, il malware è ora in circolazione in una terza variante molto migliorata. L'ultima versione è quindi significativamente più matura, complessa e pericolosa dell'originale. Secondo il rapporto, è in grado di rubare dati bancari e informazioni sui conti in modo completamente automatizzato e utilizzarli immediatamente per effettuare transazioni in proprio, svuotando così i conti delle vittime. Secondo ThreatFabric, questo rende il malware uno dei trojan Android più pericolosi attualmente in circolazione. Secondo il rapporto, un sito Web dello sviluppatore Xenomorph "Hadoken Security" indica che i produttori vogliono offrire il loro Trojan come servizio a pagamento per i criminali informatici in futuro.
Il malware è attualmente distribuito tramite la piattaforma dark web Zombinder. Clona le app legittime dal Google Play Store e vi allega il malware. Il trojan arriva sullo smartphone della vittima scaricando la rispettiva applicazione. Secondo il rapporto, Xenomorph si finge attualmente un convertitore di valuta. Particolarmente minaccioso: la nuova versione 3 non si limita più a spiare e rapinare 56 istituti finanziari. Secondo ThreatFabric, il trojan sta ora prendendo di mira 400 banche in tutto il mondo. In Germania sono interessate 18 istituzioni finanziarie, tra cui Deutsche Bank, ING e UniCredit. Ce ne sono 43 in Spagna, 40 in Turchia e 32 in Polonia. Xenomorph ha anche 13 portafogli crittografici come Binance e Coinbase sul suo schermo.
Secondo ThreatFabric, il particolare pericolo del trojan deriva dall'uso del cosiddetto Automated Transfer System Framework (ATS). Ciò garantisce che le menti dietro il malware non debbano più intervenire per svuotare gli account. L'intero processo, dall'infezione dello smartphone al furto dei dati di accesso e al trasferimento dei fondi sul conto target, avviene senza supporto umano. Il software è persino in grado di leggere app di sicurezza di terze parti per ribaltare l'autenticazione a due fattori.
Grave minaccia per gli utenti Android
Gli esperti valutano molto alto il pericolo rappresentato da Xenomorph per gli utenti Android. Pertanto, consigliano di prestare estrema attenzione durante l'installazione di app, di verificare i creatori dell'applicazione prima di installarla e di studiare attentamente le recensioni. In una dichiarazione a bleepingcomputer.com, Google ha dichiarato che non c'erano app infette da Xenomorph nel Play Store. Tuttavia, i criminali riescono ancora a contrabbandare applicazioni dannose.