لوحظ توزيع حصان طروادة مصرفي جديد يعمل بنظام Android مع أكثر من 50,000 عملية تثبيت عبر متجر Google Play الرسمي بهدف استهداف 56 بنكًا أوروبيًا وجمع المعلومات الحساسة من الأجهزة المخترقة.
يطلق عليها اسم Xenomorph بواسطة شركة الأمن الهولندية ThreatFabric ، يقال إن البرنامج الضار قيد التطوير يشترك في التداخلات مع طروادة مصرفية أخرى تم تتبعها تحت الاسم Alien بينما تكون أيضًا "مختلفة جذريًا" عن سابقتها من حيث الوظائف المعروضة.
قال هان شاهين ، المؤسس والرئيس التنفيذي لشركة ThreatFabric ، "على الرغم من كونه قيد التنفيذ ، إلا أن Xenomorph تعمل بالفعل على تراكبات رياضية فعالة ويتم توزيعها بنشاط على متاجر التطبيقات الرسمية". "بالإضافة إلى ذلك ، فهي تتميز بمحرك معياري ومفصل للغاية لإساءة استخدام خدمات إمكانية الوصول ، والتي يمكن أن تدعم في المستقبل قدرات متقدمة جدًا ، مثل ATS."
كائن فضائي ، حصان طروادة للوصول عن بُعد (RAT) مزود بميزات التنصت على الإشعارات وميزات سرقة 2FA المستندة إلى المصدق ، ظهرت قريبا بعد زوال الشائنة سيربيروس في أغسطس 2020. منذ ذلك الحين ، تم رصد شوكات أخرى من Cerberus في البرية ، بما في ذلك إرماك في سبتمبر شنومكس.
Xenomorph ، مثل Alien و ERMAC ، هو مثال آخر على حصان طروادة مصرفي يعمل بنظام Android والذي يركز على التحايل على الحماية الأمنية لمتجر Google Play من خلال التنكر في صورة تطبيقات إنتاجية مثل "Fast Cleaner" لخداع الضحايا غير المدركين لتثبيت البرامج الضارة.
تجدر الإشارة إلى أن تطبيق قطارة تدريب اللياقة البدنية مع أكثر من 10,000 عملية تثبيت - مُدبلج جيم دروب - تم العثور على تسليم حمولة طروادة المصرفية الغريبة في نوفمبر من خلال إخفاءها على أنها "حزمة جديدة من التمارين الرياضية".
Fast Cleaner ، الذي يحمل اسم الحزمة "vizeeva.fast.cleaner" ولا يزال متاحًا في متجر التطبيقات ، هو الأكثر شيوعًا في البرتغال وإسبانيا ، بيانات من شركة استخبارات سوق تطبيقات الهاتف المتحرك Sensor Tower يكشف، مع ظهور التطبيق لأول مرة في متجر Play في نهاية يناير 2022.
علاوة على ذلك ، حذرت مراجعات المستخدمين للتطبيق من أن "هذا التطبيق به برامج ضارة" وأنه "يطلب [] تحديثًا ليتم تأكيده باستمرار." قال مستخدم آخر: "إنه يضع برامج ضارة على الجهاز وبصرف النظر عن أنه يحتوي على نظام حماية ذاتية بحيث لا يمكنك إلغاء تثبيته".
يستخدم أيضًا Xenomorph ملف تكتيك تم اختباره عبر الزمن من حث الضحايا على منحها امتيازات خدمة إمكانية الوصول وإساءة استخدام الأذونات لإجراء هجمات تراكب ، حيث تقوم البرامج الضارة بحقن شاشات تراكب محتالة فوق تطبيقات مستهدفة من إسبانيا والبرتغال وإيطاليا وبلجيكا لسرقة بيانات الاعتماد والمعلومات الشخصية الأخرى.
بالإضافة إلى ذلك ، فهو مزود بميزة اعتراض الإشعارات لاستخراج رموز المصادقة الثنائية المستلمة عبر الرسائل القصيرة ، والحصول على قائمة بالتطبيقات المثبتة ، والتي يتم إخراج نتائجها إلى خادم تحكم وتحكم عن بعد.
قال الباحثون: "إن ظهور Xenomorph يظهر مرة أخرى أن الجهات الفاعلة في التهديد تركز اهتمامها على تطبيقات الهبوط في الأسواق الرسمية". "تتطور البرامج الضارة المصرفية الحديثة بمعدل سريع جدًا ، ويبدأ المجرمون في تبني ممارسات تطوير أكثر دقة لدعم التحديثات المستقبلية."
