Xenomorph: malware Android attacca banche e cryptowallet USA

Torna la minaccia Xenomorph, il già noto malware di Android che già lo scorso marzo aveva attaccato più di 400 istituti di credito, alcuni dei quali anche in Italia. I ricercatori della società di sicurezza informatica ThreatFabric hanno scoperto una nuova campagna (lanciata a metà agosto) che distribuisce una nuova versione del trojan bancario agli utenti Android di Stati Uniti, Canada, Spagna, Portogallo, Belgio e, purtroppo, anche Italia. Gli analisti, che monitorano l’attività di Xenomorph da febbraio 2022, hanno notato che quest’ultima versione prende di mira soprattutto le banche statunitensi e gli utenti con cryptowallet (portafogli di criptovalute).

Xenomorph: nuova campagna del malware contro gli USA

Secondo quanto riportato sul blog di ThreatFabric, gli analisti sono riusciti ad identificare chiaramente una campagna di distribuzione realizzata utilizzando la tecnica del phishing, portando così le vittime ad installare APK dannosi, che presentano un elenco di obiettivi più ampio rispetto alle versioni precedenti. Nel caso specifico, queste pagine di phishing si spacciavano per aggiornamenti di Google Chrome. Gli utenti sono meno sospettosi nei confronti di app molto comuni (come Chrome o il Google Play Store). Proprio per questo gli hacker le utilizzano per effettuare i loro tentativi di phishing.

Tuttavia, in questo caso, i cybercriminali hanno commesso l’errore di non limitare l’accesso alla cartella del server contenente i file necessari per distribuire il malware. Ogni campione di Xenomorph è infatti caricato con circa un centinaio di overlay destinati a diversi gruppi di banche e app crittografiche, a seconda del gruppo demografico target. In quest’ultima versione, i criminali hanno aggiunto nel codice una funzionalità chiamata “mimic”. Questa può essere attivata da un comando corrispondente e permette al malware di agire come un’altra applicazione. L’altra funzionalità aggiunta è “ClickOnPoint”, che consente poi agli hacker di Xenomorph di simulare tocchi in specifiche coordinate dello schermo.

I ricercatori hanno inoltre scoperto altri payload dannosi. Un esempio sono le varianti di malware Android Medusa e Cabassus. Questi hanno inoltre trovato ladri di informazioni di Windows RisePro e LummaC2, ma anche il caricatore di malware Private Loader. Per evitare questo tipo di problemi, ThreatFabric consiglia agli utenti di fare sempre attenzione alle richieste di aggiornamento sui propri device mobili. Spesso queste fanno parte di campagne di distribuzione di malware. Il modo più sicuro di aggiornare qualsiasi app è quello di farlo tramite i canali ufficiali (in questo caso il Google Play Store).