Actualités

Xenomorph : dans la même veine que le malware Alien, ce trojan bancaire à l’état naissant mais déjà redoutable sur le Play Store ! (un quoi…)

A nouveau, les chercheurs de l’équipe ThreatFabric alertent : en Septembre 2020, Alien était décrit comme une variante de Cerberus, un MaaS (Malware-as-a-Service) qui pouvaient aspirer les données bancaires ; à cela s’est ajouté Alien, donc, qui intégrait, à l’époque, deux autres atouts dans son sac via les notifications et le RAT (TeamViewer) tout en passant sous les radars de détection-système sécuritaire. Ex-filtration aussi variée que massive (SMS, informations-système, keylogs, contacts, applications installées, géo-localisation, historique-appels, entre-autres…), Alien savait se fondre dans la masse via sa version aussi mature que redoutable, comme l’indiquait déjà, ici également, les chercheurs ThreatFabric qui viennent, depuis Février 2022, de publier les derniers éléments de preuve pour Xenomorph, une évolution encore en devenir mais déjà opérationnelle d’Alien…

 

 

“D’après les renseignements recueillis, les utilisateurs de 56 banques européennes différentes font partie des cibles de ce nouveau cheval de Troie malveillant Android, distribué sur le Google Play Store officiel, avec plus de 50 000 installations […] Xenomorph est radicalement différent d’Alien dans ses fonctionnalités. Ce fait, en plus de la présence de fonctionnalités non implémentées et de la grande quantité de journalisation présente sur le malware, peut suggérer que ce malware pourrait être le nouveau projet en cours soit des acteurs responsables de l’Alien original, soit du moins de quelqu’un qui connaît sa base de code. Cependant, ce ne sont que des spéculations pour le moment […] La version actuelle de Xenomorph est capable d’abuser des services d’accessibilité pour voler des PII à des victimes inconscientes, empêcher la désinstallation et intercepter les SMS et les notifications”, indique le billet sécuritaire dédié. En comparaison avec Alien, Xenormorph, bien qu’en version évolutive ou naissante, possède plusieurs points communs : la page-ressource (HTML) pour accéder aux privilèges-système et le style SharedPreferences (sous le fichier ring0.xml).

 

Privilégiant, pour l’heure, les applications Android sous le Play Store, ce trojan prend les traits d’applications mobiles assez variées (pas que bancaire, bien évidemment) : un PoC est démontré avec “fast cleaner”, une application mobile censée nettoyer les fichiers inutiles ou optimiser les blocs-système. En réalité, derrière cette application réside Gymdrop, une famille de dropper mise en lumière par les chercheurs en Novembre 2021 et qui jouait un rôle dans le déploiement, notamment, d’Alien en tant que charge utile. Ici une variante ou évolution a été observée puisque Gymdrop était accompagné de deux autres familles via “une nouvelle vague” ExobotCompact.D et, donc, Xenomorph.

 

Une fois l’application (tronquée) est téléchargée, le trojan exploite une cyber-attaque par élévation de privilèges pour entamer le déploiement de la charge virale depuis les services d’accessibilité. En arrière-plan, et sous WebView (en usurpant l’identité d’un “package ciblé“), il actualisera les informations subtilisées sur le terminal de la victime tout en effectuant des enregistrement de ces données avec, pour l’heure, des ex-filtration depuis les journaux locaux (logs) : il est souligné qu’il n’est pas impossible, par une “modification très mineure“, que Xenomorph puisse faire évoluer cet aspect de son code en s’accompagnant d’une fonction de key-logging (saisie, frappes des logs) et d’accessibilité au niveau de la journalisation. “Comme beaucoup d’autres chevaux de Troie Android Banking, ce cheval de Troie s’appuie fortement sur le mécanisme d’attaque par superposition pour tromper ses victimes en leur faisant révéler des informations personnelles identifiables (PII), qui pourraient ensuite être utilisées par des criminels pour commettre des fraudes“.

 

Visant essentiellement des pays européens (Espagne, Portugal, Italie, Belgique), il prend les traits, également, d’applications Android communes (messagerie électronique par exemple) ou d’applications spécialisées (wallet, porte-feuille crypto-monnaie) pour, en finalité, ex-filtrer les données vers des serveurs command-and-control via une communication chiffrée (AES + hachage) : ici également, les chercheurs soulignent que, pour l’heure, beaucoup de fonctionnalités ne sont pas poussées ou activées mais peuvent facilement être exploitables pour renforcer l’arsenal de Xenormorph… A veiller !

 

 

 

Source : blog ThreatFabric – Février 2022 – Xenomorph (Android, PlayStore) : variation naissante du trojan bancaire Alien.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.11.6