I ricercatori della società di prevenzione delle frodi e della criminalità informatica ThreatFabric hanno trovato un nuovo malware chiamato Xenomorph distribuito tramite Google Play Store che ha infettato più di 50.000 dispositivi Android per rubare informazioni bancarie.
Ancora in una fase di sviluppo iniziale, Xenomorph si rivolge agli utenti di dozzine di istituti finanziari mostrando schermate di accesso false per 56 banche distribuite in Spagna, Portogallo, Italia e Belgio e per 12 portafogli di criptovaluta e sette app di posta elettronica.
Le 12 app mirate italiane sarebbero Intesa Sanpaolo Mobile, YouApp, Banca Sella, MyCartaBCC, BNL, Carige Mobile, Banca MPS, Bancaperta, UBI Banca, SCRIGNOapp, BancoPosta e PostePay.
Indice degli argomenti
Le capacità di Xenomorph
Individuato per la prima volta in questo mese, il malware Xenomorph si presenta come un tradizionale trojan bancario che, infettando gli smartphone Android, richiede l’accesso al servizio di accessibilità per mostrare, come già accennato, schermate di accesso false sopra le legittime app di home banking.
Raccolte queste informazioni, insieme ad altri dati del dispositivo, il malware le invia ai server di comando e controllo presidiati per essere successivamente impiegati per accedere a conti bancari e rubare fondi.
Xenomorph sarebbe anche in grado di intercettare le notifiche dei messaggi SMS e fornire agli attaccanti i codici OTP qualora le vittime impiegassero l’autenticazione a due fattori.
Il Play Store di Google come veicolo d’infezione
A differenza di altri trojan bancari Android che sono stati diffusi utilizzando app offerte su store di terze parti o tramite siti Web dedicati, Xenomorph sarebbe stato distribuito tramite il Play Store ufficiale di Google.
Il team di ThreatFabric, infatti, ha affermato che Xenomorph viene offerto come carico utile di seconda fase all’interno di app dannose che sono riuscite a superare i controlli di sicurezza del Play Store di Google.
Nella fattispecie, Xenomorph sarebbe stato rilasciato sui dispositivi degli utenti tramite un dropper noto come Gymdrop nascosto all’interno dell’app “Fast Cleaner”. Questa app, purtroppo, prima che venisse ritirata dal Play Store, è risultata essere stata scaricata su oltre 50.000 dispositivi.
Segue un video su come il malware riesca a creare un overlay una volta che l’app target viene avviata dall’utente.
Alcune similitudini con il trojan bancario Alien
ThreatFabric ha affermato di aver chiamato il malware con il nome peculiare di Xenomorph proprio perché ha trovato coincidenze e molte occorrenze di stringhe di registrazione e nomi di classi già osservati nel codice del noto trojan bancario Android denominato Alien, ispirandosi per la scelta del nome alla serie di film omonima.
Conclusioni
Il malware, sebbene sembri essere ancora in fase di sviluppo, rappresenta sempre e comunque una nuova grande minaccia e i ricercatori si aspettano nuovi sviluppi futuri: “Attualmente Xenomorph è un normale trojan bancario per Android, con molto potenziale non sfruttato, che potrebbe essere rilasciato molto presto. Il malware per le banche moderne si sta evolvendo a un ritmo molto veloce e i criminali stanno iniziando ad adottare pratiche di sviluppo più raffinate per supportare gli aggiornamenti futuri. Xenomorph è in prima linea in questo cambiamento. L’attuale versione di Xenomorph è in grado di abusare dei servizi di accessibilità per rubare informazioni personali a vittime ignare, impedire la disinstallazione e intercettare SMS e notifiche. ThreatFabric prevede che con un po’ più di tempo per completare lo sviluppo, questo malware potrebbe raggiungere livelli di minaccia più elevati, paragonabili ad altri moderni trojan Android Banking”.
Per tutti questi motivi vale sempre la pena seguire le seguenti buone regole:
- prestare molta attenzione alle autorizzazioni che vengono richieste durante l’installazione delle app;
- monitorare lo stato della batteria e del traffico rete del dispositivo per identificare eventuali anomalie che potrebbero essere attribuiti a processi arbitrari eseguiti in background;
- prevedere anche per i dispositivi mobili uno strumento antivirus affidabile e completo.
Tutti gli IoC sono disponibili nell’appendice del rapporto pubblicato dai ricercatori di ThreatFabric.
