El malware Xenomorph para Android ha lanzado una nueva versión que agrega capacidades significativas para realizar ataques maliciosos, incluido un nuevo marco de sistema de transferencia automatizado (ATS) y la capacidad de robar credenciales para 400 bancos.
Xenomorph fue detectado por primera vez por ThreatFabric en febrero de 2022, que descubrió la primera versión del troyano bancario en la tienda Google Play, donde acumuló más de 50,000 descargas.
Esa primera versión apuntó a 56 bancos europeos usando inyecciones para ataques de superposición y abusó de los permisos de los Servicios de Accesibilidad para realizar la interceptación de notificaciones para robar códigos de un solo uso.
El desarrollo del malware continuó a lo largo de 2022 por sus autores, "Hadoken Security", pero sus versiones más recientes nunca se distribuyeron en grandes volúmenes.
En cambio, Xenomorph v2, que se lanzó en junio de 2022, solo tuvo breves ráfagas de actividad de prueba. Sin embargo, la segunda versión se destacó por su revisión completa del código, lo que la hizo más modular y flexible.
Xenomorph v3 es mucho más capaz y maduro que las versiones anteriores, capaz de robar datos automáticamente, incluidas credenciales, saldos de cuentas, realizar transacciones bancarias y finalizar transferencias de fondos.
"Con estas nuevas características, Xenomorph ahora puede automatizar por completo toda la cadena de fraude, desde la infección hasta la exfiltración de fondos, lo que lo convierte en uno de los troyanos de Android Malware más avanzados y peligrosos en circulación", advierte ThreatFabric.
ThreatFabric informa que es probable que Hadoken planee vender Xenomorph a los operadores a través de una plataforma MaaS (malware como servicio), y el lanzamiento de un sitio web que promociona la nueva versión del malware refuerza esta hipótesis.
Actualmente, Xenomorph v3 se distribuye a través de la plataforma 'Zombinder' en la tienda Google Play, haciéndose pasar por un conversor de moneda y cambiando a usar un ícono de Play Protect después de instalar la carga maliciosa.
Nuevos objetivos Xenomorph
La última versión de Xenomorph está dirigida a 400 instituciones financieras, principalmente de Estados Unidos, España, Turquía, Polonia, Australia, Canadá, Italia, Portugal, Francia, Alemania, Emiratos Árabes Unidos e India.
Algunos ejemplos de instituciones objetivo incluyen Chase, Citibank, American Express, ING, HSBC, Deutsche Bank, Wells Fargo, Amex, Citi, BNP, UniCredit, National Bank of Canada, BBVA, Santander y Caixa.
La lista es demasiado extensa para incluirla aquí, pero ThreatFabric ha enumerado todos los bancos objetivo en el apéndice de su informe.
Además, el malware apunta a 13 billeteras de criptomonedas, incluidas Binance, BitPay, KuCoin, Gemini y Coinbase.
Omisión automática de MFA
La característica más notable introducida en la nueva versión de Xenomorph es el marco ATS, que permite a los ciberdelincuentes extraer credenciales automáticamente, verificar saldos de cuentas, realizar transacciones y robar dinero de aplicaciones objetivo sin realizar acciones remotas.
En su lugar, el operador simplemente envía scripts JSON que Xenomorph convierte en una lista de operaciones y las ejecuta de forma autónoma en el dispositivo infectado.
"El motor [de ejecución ATS] que utiliza Xenomorph se destaca de su competencia gracias a la amplia selección de posibles acciones que son programables y pueden incluirse en los scripts ATS, además de un sistema que permite la ejecución condicional y la priorización de acciones", explica Investigadores de Threat Fabrics.
Una de las capacidades más impresionantes del marco ATS del malware es su capacidad para registrar el contenido de las aplicaciones de autenticación de terceros, superando las protecciones MFA (autenticación multifactor) que de otro modo bloquearían las transacciones automatizadas.
Los bancos están abandonando gradualmente el SMS MFA y, en su lugar, sugieren que los clientes usen aplicaciones de autenticación, por lo que es preocupante ver la capacidad de Xenomorph para acceder a estas aplicaciones en el mismo dispositivo.
ladrón de cookies
Además de lo anterior, el nuevo Xenomorph presenta un ladrón de cookies que puede arrebatar cookies del Administrador de cookies de Android, que almacena las cookies de sesión del usuario.
El ladrón abre una ventana del navegador con la URL de un servicio legítimo con la interfaz de JavaScript habilitada, engañando a la víctima para que ingrese sus datos de inicio de sesión.
Los actores de la amenaza roban la cookie, lo que hace posible secuestrar las sesiones web de la víctima y apoderarse de sus cuentas.
Un malware para Android del que preocuparse
Xenomorph fue un nuevo malware notable que ingresó al espacio del cibercrimen hace un año.
Ahora, con el lanzamiento de su tercera versión principal, es una amenaza mucho mayor para los usuarios de Android en todo el mundo.
Teniendo en cuenta su canal de distribución actual, Zombinder, los usuarios deben tener cuidado con las aplicaciones que instalan desde Google Play, leer reseñas y verificar los antecedentes del editor.
En general, es recomendable mantener la cantidad de aplicaciones que se ejecutan en su teléfono al mínimo posible y solo instalar aplicaciones de proveedores conocidos y confiables.