Une nouvelle variante du cheval de Troie bancaire Android nommée Xenomorph a fait surface dans la nature, révèlent les dernières découvertes de ThreatFabric.

Baptisée « Xenomorph 3ème génération » par Hadoken Security Group, l’acteur de la menace à l’origine de l’opération, la version mise à jour est dotée de nouvelles fonctionnalités qui lui permettent d’effectuer des fraudes financières de manière transparente.

« Cette nouvelle version du malware ajoute de nombreuses nouvelles fonctionnalités à un banquier Android déjà riche en fonctionnalités, notamment l’introduction d’un moteur d’exécution très étendu alimenté par les services d’accessibilité, qui est utilisé par les acteurs pour mettre en œuvre un cadre ATS complet », a déclaré le Néerlandais. a déclaré la société de sécurité dans un rapport partagé avec Breachtrace.

Xenomorph est apparu pour la première fois il y a un an en février 2022, lorsqu’il a été découvert qu’il ciblait 56 banques européennes via des applications de compte-gouttes publiées sur le Google Play Store.

En revanche, la dernière itération du banquier – qui dispose d’un site Web dédié annonçant ses fonctionnalités – est conçue pour cibler plus de 400 institutions bancaires et financières, dont plusieurs portefeuilles de crypto-monnaie.

ThreatFabric a déclaré avoir détecté des échantillons distribués via le réseau de distribution de contenu (CDN) de Discord, une technique qui a connu une augmentation depuis 2020. Deux des applications Xenomorph sont répertoriées ci-dessous –

  • Play Protect (com.great.calm)
  • Play Protect (meritoriousness.mollah.presser)

« Xenomorph v3 est déployé par une application Zombinder » liée « à un convertisseur de devises légitime, qui télécharge en tant que » mise à jour « une application se faisant passer pour Google Protect », a expliqué ThreatFabric.

Zombinder fait référence à un service de liaison APK annoncé sur le dark web depuis mars 2022, dans lequel le malware est diffusé via des versions trojanisées d’applications légitimes. L’offre a depuis été fermée.

Les cibles de la dernière campagne vont au-delà de son objectif européen (c’est-à-dire l’Espagne, l’Italie et le Portugal) pour inclure des entités financières belges et canadiennes.

Xenomorph, comme les logiciels malveillants bancaires, est connu pour abuser des services d’accessibilité pour commettre des fraudes par le biais d’attaques par superposition. Il intègre également des fonctionnalités permettant d’effectuer automatiquement des transactions frauduleuses sur des appareils infectés, une technique appelée système de transfert automatisé (ATS).

Alors que les banques abandonnent les SMS pour l’authentification à deux facteurs (2FA) pour les applications d’authentification, le cheval de Troie Xenomorph intègre un module ATS qui lui permet de lancer l’application et d’extraire les codes d’authentification.

Le malware Android se vante en outre de fonctions de vol de cookies, permettant aux acteurs de la menace d’effectuer des attaques de prise de contrôle de compte.

« Grâce à ces nouvelles fonctionnalités, Xenomorph est désormais capable d’automatiser complètement l’ensemble de la chaîne de fraude, de l’infection à l’exfiltration de fonds, ce qui en fait l’un des chevaux de Troie Android Malware les plus avancés et les plus dangereux en circulation », a déclaré la société.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *