Ứng dụng Google Play Store độc ​​hại bị phát hiện phân phối Trojan ngân hàng Xenomorph

Tìm thấy bài viết này thú vị?

Google đã xóa hai ứng dụng nhỏ giọt độc hại mới đã được phát hiện trên Play Store dành cho Android, một trong số đó được coi là ứng dụng phong cách sống và bị phát hiện phân phối phần mềm độc hại ngân hàng Xenomorph

"Xenomorph là một trojan đánh cắp thông tin đăng nhập từ các ứng dụng ngân hàng trên thiết bị của người dùng", các nhà nghiên cứu của Zscaler ThreatLabz, Himanshu Sharma và Viral Gandhi, cho biết trong một phân tích được công bố hôm thứ Năm.

"Nó cũng có khả năng chặn tin nhắn SMS và thông báo của người dùng, cho phép nó đánh cắp mật khẩu một lần và yêu cầu xác thực đa yếu tố. "

Công ty an ninh mạng cho biết họ cũng tìm thấy một ứng dụng theo dõi chi phí có hành vi tương tự, nhưng lưu ý rằng nó không thể trích xuất URL được sử dụng để tìm nạp phần mềm độc hại

Hai ứng dụng độc hại như sau -

• Làm. Quản lý ngày (com. làm. quản lý ban ngày)
• 経費キーパー (com. định giá. chi phí)

Cả hai ứng dụng đều hoạt động như một ống nhỏ giọt, nghĩa là bản thân các ứng dụng đều vô hại và là đường dẫn để truy xuất tải trọng thực tế, trong trường hợp của Todo, được lưu trữ trên GitHub

Xenomorph, lần đầu tiên được ghi nhận bởi ThreatFabric vào đầu tháng 2 này, được biết là đã lạm dụng quyền truy cập của Android để thực hiện các cuộc tấn công lớp phủ, trong đó màn hình đăng nhập giả được hiển thị trên các ứng dụng ngân hàng hợp pháp để đánh cắp thông tin đăng nhập của nạn nhân

Hơn nữa, phần mềm độc hại tận dụng mô tả của kênh Telegram để giải mã và xây dựng miền chỉ huy và kiểm soát (C2) được sử dụng để nhận các lệnh bổ sung

Sự phát triển sau khi phát hiện ra bốn ứng dụng giả mạo trên Google Play được phát hiện hướng nạn nhân đến các trang web độc hại như một phần của chiến dịch phần mềm quảng cáo và đánh cắp thông tin. Google nói với The Hacker News rằng họ đã cấm nhà phát triển kể từ đó

Tìm thấy bài viết này thú vị?

Chúng tôi sử dụng cookie trên trang web của mình để cung cấp cho bạn trải nghiệm phù hợp nhất bằng cách ghi nhớ các tùy chọn của bạn và các lượt truy cập lặp lại. Bằng cách nhấp vào “Chấp nhận tất cả”, bạn đồng ý với việc sử dụng TẤT CẢ các cookie. Tuy nhiên, bạn có thể truy cập "Cài đặt cookie" để cung cấp sự đồng ý có kiểm soátChúng tôi sử dụng cookie trên trang web của mình để cung cấp cho bạn trải nghiệm phù hợp nhất bằng cách ghi nhớ các tùy chọn của bạn và các lượt truy cập lặp lại. Bằng cách nhấp vào “Chấp nhận tất cả”, bạn đồng ý với việc sử dụng TẤT CẢ các cookie. Tuy nhiên, bạn có thể truy cập "Cài đặt cookie" để cung cấp sự đồng ý có kiểm soátSự phát triển này diễn ra sau khi phát hiện bốn ứng dụng giả mạo trên Google Play hướng nạn nhân đến các trang web độc hại như một phần của chiến dịch phần mềm quảng cáo và đánh cắp thông tin. Google nói với The Hacker News rằng họ đã cấm nhà phát triển kể từ đó

Các khu vực chính Trang chủGiới thiệuBlogCác chương trìnhBáo cáoA-PRIZEQuyên gópTham gia với chúng tôiBản tinBáo giáCửa hàngThông cáo báo chíGiới thiệu về chúng tôiBan cố vấnQuỹ tài trợ BitcoinHội đồng quản trịLiên hệ với chúng tôiDanh sách các nhà tài trợCâu hỏi thường gặpTài chínhGiải thưởng Người giám hộThân thiện với tương tácAILogoTuyên bố sứ mệnhQuy trìnhNhân viênCâu hỏi thường gặp bổ sungDòng thời gian

Các chương trình hiện tạiAIShieldTiểu hành tinhShieldBioShieldInfoPreserverInternetShieldLifePreserverLifeShield BunkersNanoShieldScientificFreedomShieldSecurityPreserverMôi trường sống không gianX-Risks NetworkThêm chương trìnhAlienShieldAntimatterShieldBioPreserverBlackHoleShieldClimateShieldCommPreserverEnergy

Những địa điểm thú vị Ark IBlue BeautyEM LaunchGETASBài hát chính thứcGiáo dụcAlexaSáchTài liệu quảng cáoKhóa họcVideo giáo dụcHọc viênTài trợPhỏng vấnThông cáo báo chíTài nguyênHướng dẫn RSSHọc bổngTwitter FeedTiếp cận trường đại họcVideoCó gì mớiTin tức thế giới

Làm việc cùng nhau A-500Biểu ngữFightAIDS@HomeFolding@HomeForumsLifeboat 500LinksOpeningsOutreachPartnershipsRosetta@HomeCông việc tình nguyệnMiscChống khủng bốÝPháp lýPhương tiện truyền thôngXác minh thành viênLợi ích tư cách thành viênQuyền riêng tưNgaVIP

Vào tháng 2 năm 2022, ThreatFabric đã phát hiện ra một Trojan ngân hàng Android mới mà chúng tôi đặt tên là Xenomorph. Cái tên này xuất phát từ mối quan hệ rõ ràng của nó với một Trojan ngân hàng khét tiếng khác, Alien, từ đó Xenomorph sử dụng các tên lớp và các chuỗi thú vị

Dựa trên thông tin tình báo thu thập được, người dùng của 56 ngân hàng châu Âu khác nhau nằm trong số các mục tiêu của trojan phần mềm độc hại Android mới này, được phân phối trên Cửa hàng Google Play chính thức, với hơn 50. 000 cài đặt

Giống như nhân vật chính quái vật trong loạt phim nổi tiếng của Ridley Scott, phần mềm độc hại này chia sẻ một số khía cạnh với người tiền nhiệm của nó. Tuy nhiên, mặc dù có mối liên hệ rõ ràng với một trong những phần mềm độc hại lây lan rộng nhất trong hai năm qua, Xenomorph hoàn toàn khác với Alien về chức năng. Thực tế này, ngoài sự hiện diện của các tính năng chưa được triển khai và số lượng lớn nhật ký hiện có trên phần mềm độc hại, có thể gợi ý rằng phần mềm độc hại này có thể là dự án mới đang được tiến hành của các tác nhân chịu trách nhiệm với Alien gốc hoặc ít nhất là của . Tuy nhiên, đây chỉ là suy đoán vào lúc này

Phân bổ

Như chúng ta đã thảo luận trước đây, các tác nhân đe dọa đang ngày càng tập trung nỗ lực vào việc lẻn vào Cửa hàng Google Play (MITRE T1475)

Google dường như đã thực hiện một số hành động để giảm số lượng ứng dụng độc hại trên chợ ứng dụng, nhưng thường thì những nỗ lực này là không đủ để ngăn bọn tội phạm tiếp cận cửa hàng. Là một phần trong hoạt động tìm kiếm mối đe dọa hàng ngày của chúng tôi, các nhà phân tích của ThreatFabric gặp phải và báo cáo các ứng dụng độc hại trên cửa hàng cho Google

Một trong những ứng dụng mà ThreatFabric phát hiện được đặt tên là “Fast Cleaner”, một ứng dụng nhằm mục đích tăng tốc thiết bị bằng cách loại bỏ những thứ lộn xộn không sử dụng và loại bỏ các khối tối ưu hóa pin. Bản thân ứng dụng này có vẻ thành công, với hơn 50. 000 lượt cài đặt được báo cáo trên Google Play. Đây không phải là chiêu dụ hiếm gặp và chúng tôi đã thấy các họ phần mềm độc hại như Vultur và Alien được ứng dụng đó triển khai

Sau khi phân tích, chúng tôi công nhận ứng dụng này thuộc về. Gymdrop là dòng ống nhỏ giọt được ThreatFabric phát hiện vào tháng 11 năm 2021. Trước đây người ta đã quan sát thấy việc triển khai Người ngoài hành tinh. một trọng tải. Từ cấu hình mà dropper tải xuống, ThreatFabric có thể xác nhận rằng họ dropper này tiếp tục sử dụng họ phần mềm độc hại này làm tải trọng của nó. Tuy nhiên, trái ngược với trước đây, máy chủ lưu trữ mã độc này còn chứa 2 họ mã độc khác, cũng được trả về thay vì Alien, dựa trên các yếu tố kích hoạt cụ thể.

Đầu tiên, chúng tôi quan sát các mẫu thuộc làn sóng ExobotCompact mới. D, đã hồi sinh trong vài tuần qua, đóng vai trò là ứng dụng cửa hàng Google Play, cũng như các ứng dụng ngân hàng khác nhau

Tuy nhiên, mặc dù đây là lần đầu tiên chúng tôi quan sát thấy ExobotCompact. D và người ngoài hành tinh. Được phân phối bởi cùng một cơ sở hạ tầng nhỏ giọt, điều làm chúng tôi ngạc nhiên nhất là sự hiện diện của một dòng phần mềm độc hại hoàn toàn mới. Đây là cách ThreatFabric phát hiện ra Xenomorph

khả năng

Dưới đây là danh sách đầy đủ các khả năng của Xenomorph

Dịch vụ trợ năng

Phần mềm độc hại Android Banking này đang được phát triển rất nhiều và hầu hết hỗ trợ danh sách các tính năng tối thiểu cần thiết cho trojan ngân hàng Android hiện đại. Như đã thảo luận trước đây, vectơ tấn công chính của nó là sử dụng tấn công lớp phủ để đánh cắp thông tin đăng nhập, kết hợp với việc sử dụng chặn SMS và Thông báo để đăng nhập và sử dụng mã thông báo 2FA tiềm năng

Công cụ Trợ năng hỗ trợ phần mềm độc hại này, cùng với cơ sở hạ tầng và giao thức C2, được thiết kế cẩn thận để có thể mở rộng và cập nhật

Thông tin được lưu trữ bởi khả năng ghi nhật ký của phần mềm độc hại này là rất lớn và nếu được gửi trở lại máy chủ C2, có thể được sử dụng để thực hiện ghi nhật ký bàn phím, cũng như thu thập dữ liệu hành vi trên nạn nhân và trên các ứng dụng đã cài đặt, ngay cả khi chúng không phải là một phần của

int v0 = arg4.getEventType();
    switch(v0) {
        case 1: {
            UtilGlobal.Log("onAccessibilityEvent", "###    type: TYPE_VIEW_CLICKED");
            break;
        }
        case 2: {
            UtilGlobal.Log("onAccessibilityEvent", "###    type: TYPE_VIEW_LONG_CLICKED");
            break;
        }
        case 4: {
            UtilGlobal.Log("onAccessibilityEvent", "###    type: TYPE_VIEW_SELECTED");
            break;
        }
        case 8: {
            UtilGlobal.Log("onAccessibilityEvent", "###    type: TYPE_VIEW_FOCUSED");
            break;
        }
         . . . 
        case 0x20: {
            UtilGlobal.Log("onAccessibilityEvent", "###    type: TYPE_WINDOW_STATE_CHANGED");
            this.windowStateChangedEvent(arg4); // function responsible for injections
            break;
        }
        case 0x40: {
            UtilGlobal.Log("onAccessibilityEvent", "###    type: TYPE_NOTIFICATION_STATE_CHANGED");
            this.notificationStateChanged(arg4); // function responsible for logging notifications
            break;
        }
        . . .
    } 

Xenomorph dường như đang ở giai đoạn sơ khai, dựa trên thực tế là nhiều lệnh có trong mã của phần mềm độc hại nhưng không được triển khai. Ngoài ra, số lượng lớn nhật ký được sử dụng cũng cho thấy rằng đây có thể là một dự án phần mềm độc hại đang được tiến hành

Mặc dù cho đến nay vẫn có một số tính năng “đang được phát triển”, Xenomorph chứa mã để hỗ trợ nhiều hơn nữa. Công cụ trợ năng của nó rất chi tiết và được thiết kế theo cách tiếp cận mô-đun. Nó chứa các mô-đun cho từng hành động cụ thể mà bot yêu cầu và có thể dễ dàng mở rộng để hỗ trợ nhiều chức năng hơn. Sẽ không có gì ngạc nhiên khi thấy khả năng bán ATS của bot thể thao này trong tương lai rất gần

Giống như nhiều trojan Android Banking khác, trojan này chủ yếu dựa vào cơ chế tấn công lớp phủ để đánh lừa nạn nhân tiết lộ Thông tin nhận dạng cá nhân (PII), sau đó bọn tội phạm có thể sử dụng để thực hiện hành vi lừa đảo. Nếu phần mềm độc hại có được các đặc quyền của Dịch vụ trợ năng mà phần mềm này liên tục yêu cầu sau khi khởi động, phần mềm độc hại sẽ tự động cấp cho mình tất cả các quyền được yêu cầu rồi âm thầm thực thi trên thiết bị

Dưới đây là một số ảnh chụp màn hình của màn hình yêu cầu

Phương thức hoạt động

Vectơ tấn công chính cho Xenomorph là cuộc tấn công lớp phủ cổ điển được cung cấp bởi các đặc quyền của Dịch vụ trợ năng. Khi phần mềm độc hại được thiết lập và chạy trên thiết bị, các dịch vụ nền của nó sẽ nhận các sự kiện trợ năng bất cứ khi nào có điều gì đó mới xảy ra trên thiết bị. nếu ứng dụng đã mở là một phần của danh sách mục tiêu, thì Xenomorph sẽ kích hoạt nội dung chèn lớp phủ và hiển thị Hoạt động WebView đóng vai trò là gói mục tiêu. Dưới đây là một vài ví dụ về lớp phủ được kích hoạt

Tính năng này được thực hiện bởi mã mà bạn nhìn thấy trong đoạn trích bên dưới

 protected void onStart() {
    super.onStart();
    this.context = this;
    OverlayInjectResource v0 = UtilGlobal.getPackageInjection(this, UtilGlobal.SettingsRead(this, "AITG"));
    this.resource = v0;
    this.hideStop = true;
    if(!this.stopActivity && v0 != null) {
        try {
            WebView v0_2 = new WebView(this);
            this.wv = v0_2;
            v0_2.getSettings().setJavaScriptEnabled(true);
            this.wv.setScrollBarStyle(0);
            this.wv.setWebViewClient(new MyWebViewClient(null));
            this.wv.setWebChromeClient(new MyWebChromeClient(null));
            this.wv.addJavascriptInterface(new WebAppInterface(this), "Android");
            String v3 = this.resource.getPageResource(this);
            this.wv.loadDataWithBaseURL(null, v3, "text/html", "UTF-8", null);
            this.setContentView(this.wv);
        }
        catch(Exception v0_1) {
            v0_1.printStackTrace();
        }

        return;
    }
}

Ngoài ra, phần mềm độc hại có thể lạm dụng Dịch vụ trợ năng để ghi nhật ký mọi thứ xảy ra trên thiết bị. Tại thời điểm viết bài, tất cả thông tin được thu thập chỉ được hiển thị trên nhật ký thiết bị cục bộ, nhưng trong tương lai, một sửa đổi rất nhỏ sẽ đủ để thêm khả năng ghi nhật ký bàn phím và Khả năng truy cập vào phần mềm độc hại

mục tiêu

Ở bước đầu tiên, phần mềm độc hại sẽ gửi lại danh sách các gói đã cài đặt trên thiết bị và dựa trên ứng dụng được nhắm mục tiêu nào có trên thiết bị, nó sẽ tải xuống các lớp phủ tương ứng để tiêm. Danh sách các mục tiêu lớp phủ do Xenomorph trả về bao gồm các mục tiêu từ Tây Ban Nha, Bồ Đào Nha, Ý và Bỉ, cũng như một số ứng dụng có mục đích chung như dịch vụ gửi email và ví tiền điện tử

Giao tiếp & Lệnh C2

Đối với giao tiếp C2, Xenomorph dựa vào dự án mã nguồn mở Retrofit2

Retrofit là ứng dụng khách REST an toàn cho Android, Java và Kotlin được phát triển bởi Square. Thư viện cung cấp một khung mạnh mẽ để xác thực và tương tác với API và gửi yêu cầu mạng bằng OkHttp

---

GHI CHÚ. ThreatFabric muốn đề cập rõ ràng rằng RetroFit là một sản phẩm hợp pháp và hợp pháp. Các nhà phát triển đã tạo ra dự án này không kiểm soát được việc lạm dụng phần mềm của họ

---

Sau khi có được các đặc quyền của Dịch vụ trợ năng, trước tiên, Xenomorph sẽ đăng ký và xác minh chính nó với C2, bằng cách gửi yêu cầu chứa thông tin sau tại điểm cuối 'ping'

{
    "api":"%DEVICE_SDK_NUMBER%",
    "apps":["%LIST%","%OF%","%INSTALLED%", "%APPS%"],
    "imei":"%IMEI%",
    "model":"%MODEL%",
    "numbers":["%LIST%","%OF%","%CONTACTS%"],
    "tag":"%BOT_TAG%",
    "uid":"%UID%"
}

Các tin nhắn được mã hóa bằng khóa AES và IV luôn thay đổi, cùng với hàm băm của tin nhắn để đảm bảo tính toàn vẹn của giao tiếp. Tin nhắn đầu tiên được gửi tới C2 có định dạng sau và sử dụng testKey được mã hóa cứng. Thông tin ban đầu được lọc về thiết bị và hiển thị ở trên được chứa trong thẻ 'id'

{
    "hash":"%BASE64_ENCODED_SHA256%",
    "id":"%ENCRYPTED_DATA%",
    "iv":"%IV_FOR_AES%",
    "type":"request_verify"
}

Sau trao đổi này, bot có thể được đăng ký thành công và giao tiếp với C2. Trong giai đoạn này, phần mềm độc hại sẽ thăm dò định kỳ các lệnh mới từ C2, nhận được phản hồi sau

{ 
    "type": "get_coms",
    "coms": [""]
}

Giá trị của 'coms' có thể trống hoặc có thể là bất kỳ giá trị nào được mô tả trong phần sau

lệnh

Bảng sau chứa tất cả các lệnh được chấp nhận có thể được gửi từ C2

CommandDescriptionsms_logLog SMSnotif_ic_disableDisable Intercept notificationinj_listList injectsnotif_ic_enableEnable notification interceptsms_ic_disableDisable SMS interceptinj_enableEnable Injectsapp_listGet installed apps listsms_ic_enableEnable SMS interceptinj_updateUpdate list of injectsinj_disableDisable injectssms_ic_updateNot implementedsms_ic_listNot implementednotif_ic_listNot implementedself_cleanupNot implementednotif_ic_updateNot implementedfg_disableNot implementedfg_enableNot implementedapp_killNot implemented

điểm cuối

Dưới đây là danh sách các điểm cuối được Xenomorph sử dụng để giao tiếp với C2 của nó

EndpointDescription/pingĐược sử dụng cho bước xác minh ban đầu/số liệu Được sử dụng để truy xuất các lệnh từ c2 và gửi thông tin đã lọc

Điểm tương đồng với Người ngoài hành tinh

Cả hai lựa chọn có một công cụ Dịch vụ trợ năng hoàn toàn theo mô-đun và việc sử dụng Retrofit2 có thể nhắc nhở về một trojan Android Banking mạnh mẽ khác, S. O. V. A. Tuy nhiên, bất chấp sự tương đồng về thiết kế này, hai gia đình lại hoàn toàn khác nhau trong việc thực hiện. Mặt khác, có nhiều điểm tương đồng với một Trojan Android Banking khác đã xuất hiện hơn 2 năm nay. người ngoài hành tinh

Điểm giống nhau đầu tiên giữa hai dòng này là việc sử dụng cùng một trang tài nguyên HTML để lừa nạn nhân cấp các đặc quyền của Dịch vụ trợ năng, tuy nhiên, đặc quyền này đã được nhiều dòng trước Xenomorph sử dụng lại.

Phần mềm độc hại mới này cũng sử dụng kiểu theo dõi trạng thái rất giống thông qua việc sử dụng tệp ‘SharedPreferences’. Tệp này thường được sử dụng để theo dõi trạng thái của ứng dụng. Tuy nhiên, phong cách đặt tên biến mà Xenomorph sử dụng rất gợi nhớ đến Alien, mặc dù có khả năng còn chi tiết hơn.

Có khả năng sự thật thú vị nhất là tên thật của tệp sharedPreferences được sử dụng để lưu trữ cấu hình cho Xenomorph. tập tin được đặt tên là ring0. xml

Điều này có thể trông giống như bất kỳ chuỗi ngẫu nhiên chung nào khác, nhưng nó lại trùng với tên của

Nếu điều này có thể trông giống như một sự trùng hợp ngẫu nhiên, thì có rất nhiều sự xuất hiện của các chuỗi ghi nhật ký và tên lớp rất đặc biệt được quan sát đầu tiên trong Cerberus, và sau đó là người kế nhiệm của nó là Alien.

Hiện tại bộ khả năng của Alien lớn hơn nhiều so với Xenomorph. Tuy nhiên, xem xét rằng phần mềm độc hại mới này vẫn còn rất mới và sử dụng thiết kế mô-đun mạnh mẽ, không khó để dự đoán các tính năng mới sẽ xuất hiện trong tương lai gần

kết luận

Một lần nữa, sự xuất hiện của Xenomorph cho thấy các tác nhân đe dọa đang tập trung sự chú ý của họ vào việc đổ bộ các ứng dụng trên thị trường chính thức. Đây cũng là một tín hiệu cho thấy thị trường ngầm dành cho những người bán nhỏ giọt và phân phối đã tăng cường hoạt động, vì gần đây chúng tôi đã quan sát thấy Medusa và Cabassous cũng được phân phối song song

Xenomorph hiện là một Trojan Android Banking trung bình, có rất nhiều tiềm năng chưa được khai thác, có thể sớm được phát hành. Phần mềm độc hại Ngân hàng hiện đại đang phát triển với tốc độ rất nhanh và bọn tội phạm đang bắt đầu áp dụng các phương pháp phát triển tinh vi hơn để hỗ trợ các bản cập nhật trong tương lai. Xenomorph đi đầu trong sự thay đổi này

Phiên bản hiện tại của Xenomorph có khả năng lạm dụng Dịch vụ trợ năng để đánh cắp PII từ những nạn nhân không hề hay biết, ngăn chặn việc gỡ cài đặt cũng như chặn tin nhắn SMS và thông báo. ThreatFabric dự đoán rằng nếu có thêm thời gian để hoàn thành quá trình phát triển, phần mềm độc hại này có thể đạt đến mức độ đe dọa cao hơn, có thể so sánh với các trojan Android Banking hiện đại khác

MTI & CSD

Phần mềm độc hại này và phần mềm độc hại di động khác được theo dõi trong dịch vụ Mobile Threat Intel (MTI) của chúng tôi. Hãy dùng thử nguồn cấp dữ liệu MTI của chúng tôi ngay hôm nay. Gửi tin nhắn đến sales@threatfabric. com và nhận quyền truy cập miễn phí vào cổng thông tin của chúng tôi trong 30 ngày

Nếu bạn muốn biết thêm thông tin về cách chúng tôi phát hiện phần mềm độc hại trên thiết bị di động, bạn có thể liên hệ trực tiếp với chúng tôi tại. info@threatfabric. com

Bạn có thể bị hack thông qua Google Play không?

Bạn có thể bị nhiễm vi-rút từ một ứng dụng trên Cửa hàng Play không?

Bạn có thể lấy phần mềm độc hại từ Google Play không?

Google Play có phần mềm gián điệp không?